Données personnelles : la DSP 2 et le RGDP sont-ils alignés ?

la DSP 2 et le RGDPComment concilier l’ouverture des données de paiement et le RGPD ? Aurélie Banck nous livre son analyse dans un numéro spécial « DSP 2 : Un nouvel univers de business » publié par la Revue Banque & Stratégie.

La DSP 2 et le RGDP : une philosophie opposée …

La philosophie de la DSP 2 est souvent opposée à celle du RGPD, l’ouverture des données de paiement étant pour certains difficilement conciliable avec la protection des données personnelles. Qu’en est-il vraiment ?

L’ouverture des données de paiement est au centre de l’open banking.  Elle permet à de nouveaux acteurs d’accéder à ces données, et place donc l’interaction entre la directive sur les services de paiement (DSP 2) et le Règlement général sur la protection des données (RGPD) au cœur du débat.

La DSP 2 a été adoptée le 25 novembre 2015 et le Règlement général sur la protection des données date du 14 avril 2016, avec une entrée en application au 25 mai 2018. Ces deux textes ont donc été adoptés dans un cadre temporel très proche.

Dès lors, même si la DSP 2 a été adoptée alors que la Directive 95/46/CE sur la protection des données personnelles était encore en vigueur, on aurait pu légitimement supposer que le législateur veillerait à la cohérence de ce texte avec la réforme en cours relative à la protection des données…

Aurélie  Banck, « La DSP2 et le RGPD sont-ils alignés ou orthogonaux ? » Revue Banque & Stratégie n°379, avril 2019.




Recommandations de l’Autorité bancaire européenne sur l’externalisation et RGPD

Autorité bancaire européenneL’Autorité bancaire européenne (EBA) a rendu public le 25 février 2019 les conclusions de sa consultation lancée en juin dernier sur les lignes directrices encadrant l’externalisation.

Certaines des recommandations se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Une consultation pour faire évoluer les orientations du CEBS

Le projet reprenait les lignes directrices du Comité européen des superviseurs bancaires (CEBS pour Committee of European Banking Supervisors) de 2006 applicables uniquement aux établissements de crédit pour étendre leur champ d’application à l’ensemble des établissements soumis au mandat de l’EBA notamment aux établissements de paiement et de monnaie électronique.

En outre, il intégrait les recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services de Cloud computing.

L’EBA a clôturé cette consultation et publié le 25 février 2019 ses nouvelles Lignes directrices de l’EBA sur l’externalisation (1). Ces dernières définissent la notion d’externalisation et des critères permettant de déterminer si l’activité externalisées est critique ou importante et fixent un cadre de gouvernance des opérations d’externalisation. Elles sont applicables à l’externalisation de fonctions critiques ou importantes mais pas uniquement et aux opérations d’externalisation intra et extra groupe.

A la lecture de ces recommandations, il apparaît que certaines d’entre elles se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Dès lors, il apparaît possible d’identifier des synergies entre ces deux process.

La documentation et le registre des externalisations

Les établissements de crédit et les établissements de paiement assujettis doivent tenir à jour un registre des externalisations et doivent documenter « appropriately » l’ensemble des accords d’externalisation. Ce registre qui dans le cadre d’un groupe peut être tenu au niveau central doit comporter pour chaque opération une liste d’information (2) dont notamment :

  • une référence ;
  • la date de début, la date du prochain renouvellement de contrat, la date de fin et/ou la période de préavis ;
  • une brève description de la fonction externalisée incluant les données et le cas échéant s’il s’agit de données à caractère personnel ;
  • le nom du prestataire et le ou les pays dans lesquels le service est réalisé ;
  • si l’externalisation porte sur une fonction critique ou importante (dans cette hypothèse des informations additionnelles doivent être conservées) ;
  • s’il s’agit d’un prestataire de Cloud computing, etc.

Par ailleurs, ce registre doit être mis à disposition des autorités compétentes à leur demande.

A proprement parler, le RGPD n’impose pas de tenir un registre des sous-traitants. Toutefois, le respect des exigences du Règlement, en particulier de son article 28, nécessite en pratique de mettre en place un programme de gestion des sous-traitants. Le RGPD impose en effet de recenser et de suivre les opérations externalisées comportant des traitements de données personnelles.

Dès lors, les établissements doivent peu ou prou collecter au titre du RGPD des informations similaires à celles mentionnées par l’EBA. Donc, dans un souci de rationalisation, stocker l’ensemble de ces informations au même endroit pourrait être un facteur de simplification et de cohérence des deux démarches.

L’évaluation des sous-traitants

Les Lignes directrices de l’EBA sur l’externalisation imposent de procéder à une évaluation du prestataire avant de procéder à cette externalisation. Les éléments à analyser sont listés au chapitre IV des lignes directrices.

Il s’agit notamment de conditions relatives aux modalités d’exercice (le prestataire doit-il être autorisés ou enregistrés pour exercer cette activité ? l’existence d’un accord de coopération entre les autorités de supervision respectives des deux parties, l’existence ou non de la possibilité de sous-traiter et les conditions de cette sous-sous-traitance, etc.). Les conditions de compétence et de réputation sont également analysées.

Si l’externalisation comporte des données personnelles, l’établissement doit d’assurer que le prestataire prend des mesures techniques et organisationnels appropriées pour les protéger.

Cette évaluation doit être maintenue et revue de manière périodique tout au long de la relation. Elle diffère en fonction de l’entité ayant la qualité de prestataire notamment s’il s’agit d’une entité du même groupe, une entité soumise au même cadre de gouvernance ou d’une entité extérieure.

Cette évaluation rappelle cette devant être réalisée dans le cadre du RGPD. L’article 28 précise que l’établissement « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Le responsable du traitement doit donc évaluer en amont de la contractualisation la conformité au RGPD de son sous-traitant. Dans la mesure où l’évaluation au titre des lignes directrices est plus large, il apparait possible de capitaliser sur ce process pour procéder à l’évaluation des sous-traitants au titre de l’article 28 du RGPD voir de fusionner ces deux process.

Les dispositions contractuelles

L’article 13 des lignes directrices de l’EBA sur l’externalisation fixe la liste des exigences devant figurer dans l’accord d’externalisation. Ces dispositions incluent des éléments relatifs à la sécurité des données, à la sous-sous traitance de la prestation, au droit d’audit de l’établissement à l’initiative de l’opération, à la fin du contrat, etc.

Encore une fois les points communs sont nombreux avec la liste des exigences contractuelles figurant à l’article 28, 3 du RGPD.

Pour résumer, les lignes directrices de l’EBA sur l’externalisation qui seront applicables à compter du 30 septembre 2019, imposent la mise en place d’une véritable politique d’externalisation et la désignation d’une fonction en charge de ces opérations.

Pour conclure, au vu des nombreux points communs avec le processus de gestion des sous-traitants au sens du RGPD, les établissements assujettis auraient tout intérêt à rapprocher ces process afin d’en assurer la cohérence et d’en rationaliser les coûts.

Aurélie Banck
Lexing Conformité RGPD Banque et Assurance

(1) Final Report on EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02).
(2) Une liste d’information : la liste exhaustive figure au point 54 des lignes directrices recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services de Cloud Computing.




La data au cœur de la stratégie nationale sur les paiements

La data au cœur de la stratégie nationale sur les paiementsLa data est au cœur de la nouvelle stratégie 2019-2024 du Comité national des paiements scripturaux (CNPS).

La stratégie nationale sur les moyens de paiement rendue à l’automne 2015 avait confié au CNPS, dépendant de la Banque de France, le soin de piloter la modernisation des moyens de paiement. La conjonction d’évolutions réglementaires et technologiques a reconfiguré, ces dernières années, le paysage des paiements et nécessitait d’actualiser cette stratégie nationale, c’est chose faite en février 2019.

Cette nouvelle ambition passe par trois axes stratégiques au cœur desquels figure la data, qu’il s’agisse d’en assurer la protection ou l’exploitation afin de sécuriser les paiements.

Ces trois axes sont les suivants :

  • poursuivre les actions de promotion des paiements dématérialisés et sécurisés au service de la société
  • conforter l’innovation par la sécurité et la sécurité par l’innovation ;
  • concourir à l’ambition européenne d’un approfondissement du marché unique des paiements.

D’une manière générale, la protection des données de paiement et la conformité des nouvelles solutions de paiement aux exigences de lutte contre la fraude, font parties des enjeux globaux émergents. Le développement des paiements à distance conduit à une circulation accrue des données de paiement sensibles (1) qui devient un « enjeu de plus en plus crucial ».

Dans ce cadre, le Comité estime que les mécanismes de « tokenisation » (2) essentiellement utilisés dans le cadre des paiements par carte devaient être étendues au paiement SEPA. La plupart du temps, la question de la protection des données de paiement pose également, selon le Comité, la question de la définition du périmètre de ces données. La question est d’importance à l’heure où de plus en plus de données sont utilisées pour l’analyse d’un paiement (notamment les habitudes d’achat, de navigation, de géolocalisation, le fingerprint des appareils servant aux opérations de paiement, etc.).

A la lecture de cette stratégie, il apparait que la data tient une place majeure et déterminante dans chacun de ses axes.

En ce qui concerne la poursuite des travaux de dématérialisation et de sécurisation des paiements :

Le CNPS appelle de ses vœux le développement de nouvelles technologies d’authentification notamment dans le contexte de l’entrée en application de la DSP2 (3) qui pose des exigences d’authentification forte. Il estime nécessaire de mettre en place des travaux sur les modalités d’authentification afin d’aider les acteurs de marché en particulier s’agissant de l’utilisation de données biométriques.

L’une des actions associées à cet axe vise d’ailleurs à lancer des travaux de clarification du cadre juridique applicable à l’utilisation des techniques biométriques, ce qui semble un peu surprenant dans la mesure où le RGPD et la loi Informatique et libertés posent un cadre juridique clair quant à l’usage de ce type de donnée.

Dans le cadre de l’objectif de sécurisation des données de paiement, le Comité insiste sur la nécessité de sécuriser les traitements mis en œuvre par l’ensemble des acteurs de la chaine du paiement en particulier par les commerçants.

Au titre des actions identifiées à cette fin, on note la définition de recommandations relatives à la protection des données de paiement par les commerçants en lien avec la mise en œuvre du RGPD et la volonté d’engager des travaux afin d’assurer la cohérence des dispositions législatives françaises et européennes traitant de la sécurité des données de paiement (en particulier la DSP2, RGPD et la directive NIS), ce qui apparait plus que souhaitable.

L’un des objectifs du Comité est également d’améliorer la prévention et la détection de la fraude en prenant en compte des technologies de Big Data et d’intelligence artificielle et de renforcer le partage de données entre acteurs. Le développement d’outils de prévention et de détection de la fraude au niveau européen est également évoqué.

En ce qui concerne le déploiement des innovations : de la donnée encore de la donnée….

Le Comité recommande de promouvoir une utilisation large des API. Pour mémoire la DPS2 prévoit l’obligation de développer des API pour permettre l’accès aux données des comptes de paiement. Selon lui des API devraient également être développer du côté des commerçants afin de résoudre la complexité croissante liée à la cohabitation de plusieurs moyens de paiement.

Les « principe de minimisation et de maitrise par les individus des données auxquels des tiers pourraient avoir accès » prévus par le RGPD devront être garantis par tous les acteurs du système.

Concourir à l’ambition du marché européen : là encore la data apparaît au cœur de cette stratégie.

Le Comité fait une proposition surprenante : celle d’étudier les modalités d’une politique de localisation des données de paiement au sein de l’UE. Il affirme que « la localisation au sein de l’UE du traitement des données relatives aux transactions libellées dans les devises de l’Union doit constituer une priorité pour assurer l’indépendance du marché et des acteurs européens dans le domaine des paiements ».

Il recommande d’identifier les données critiques de paiement qui font l’objet d’un traitement en dehors de l’UE et d’étudier des pistes d’action pour permettre leur relocalisation. Il cite à titre d’exemple de la génération des « tokens » qui est majoritairement effectuée par des acteurs non européens, soumis à des cadres juridiques très différents.

Le Comité va au-delà en évoquant également le sujet de la localisation du traitement et le stockage des données informatiques de paiement. S’il est évident que cette situation crée une forme de dépendance des acteurs européens, par rapport à d’autres acteurs notamment américains et en particulier vis-à-vis de Visa et Mastercard, il semble qu’il soit un peu tard pour remédier à cette situation.

Données et paiements apparaissent donc inextricablement liés, le développement de cette stratégie devrait donc donner lieu à des débats entre les acteurs du paiement et la Cnil qui rappelons-le est membre de l’Observatoire de la sécurité des moyens de paiement.

Aurélie Banck
Lexing Conformité RGPD Banque – Assurance

(1) Données de paiement sensibles : Il s’agit des données permettant d’initier des paiements qui incluent les coordonnées bancaires, le numéro de carte et les identifiants de compte en ligne.
(2) « Tokenisation » : Il s’agit d’un process permettant de transformer une donnée sensible en un jeton informatique ou « token» constitué d’un ensemble de caractère non signifiant.
(3) DSP2 : Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, en vigueur dans l’Union européenne depuis le 13 janvier 2018.




Données personnelles : Directive Services de Paiement 2 et RGPD

Directive Services de Paiement 2Comment s’articule la Directive Services de Paiement 2 (DSP2) et le RGPD ? Aurélie Banck, directrice du département Conformité RGPD Banque et Assurance du cabinet nous livre son analyse dans un étude publiée dans la Revue de droit Bancaire et financier (1).

Pour rappel, la Directive sur les services de paiement 2 (PSD2Directive on Payment Services 2) applicable depuis janvier 2018 est venue bouleverser le paysage réglementaire des services de paiement. Cette directive crée de nouveaux services et consacre les principes de l’Open banking que l’on pourrait traduire par « système bancaire ouvert ».

L’Open banking désigne le fait pour des banques de partager les données qu’elles ont à leur disposition avec d’autres services bancaires. L’ouverture des systèmes d’information des banques et le partage des données de leurs clients à des tiers doit prendre en compte le Règlement général sur la protection des données personnelles (RGPD), applicable depuis le 25 mai 2018 (2).

Ce dernier contraint les banques à intégrer le consentement du client à leur stratégie de partenariat. Il en résulte de nombreuses problématiques nouvelles puisque les clients doivent en effet pouvoir :

  • décider des données qu’ils souhaitent partager, avec qui et à quelles fins ;
  • retirer leur consentement ;
  • demander la suppression de leurs données à tout moment.

Le prestataire de services de paiement (PSP) se trouve confronté à de nombreuses questions pratiques s’agissant du recueil du consentement au traitement des données clients : peut-il résulter d’une case à cocher ?  qu’advient-il si le client ne coche pas la case ? le service de paiement peut-il continuer à être délivré ? etc. et de nombreuses autres questions que soulève l’auteur dans son étude.

Isabelle Pottier
Directeur Études et Publications

(1) Aurélie Banck, « Données personnelles : articulation de la Directive sur les Services de Paiement 2 et du Règlement général sur la protection des données – Acte II : suite et fin ? », N°6 – 19 décembre 2018 – Droit bancaire et financier – LexisNexis.
(2) Dans une précédente étude 1, Aurélie Banck examinait l’articulation des dispositions relatives à la protection des données figurant dans la Directive sur les Services de Paiement 2 (DSP2) et le RGPD, N°1 Janvier 2018 Revue de Droit bancaire et financier  LexisNexis.




Juristendances Informatique et libertés n° 83 – 2018

Informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés de rentrée, la prochaine tenue d’un afterwork « RGPD : contrainte ou opportunité », animé par Alain Bensoussan en partenariat avec Comundi (Lexisnexis).

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Conférences et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Venez assister à nos petits-déjeuners (gratuits) : inscription en ligne.

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°83, Septembre-Octobre 2018.




Articulation de la PSD2 et du RGPD, le CEPD publie sa position

articulation de la PSD2 et du RGPDArticulation de la PSD2 et du RGPD, le Comité européen de la protection des données (successeur du G29) publie sa position. 

Alors que le Sénat vient d’adopter en seconde lecture, la ratification (1) de l’ordonnance 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 dite Directive sur les services de paiement 2 (PSD2 : Directive on Payment Services 2), le Comité européen de la protection des données vient de faire connaitre sa position quant à l’articulation de ce texte avec le Règlement européen relatif à la protection des données (RGPD).

C’est au travers d’une lettre de la Présidente du Comité (2) en réponse à un membre du Parlement européen que le successeur du G29 fait connaitre sa position sur les dispositions relatives à la protection des données figurant dans la PSD2 qui devait être transposée au plus tard le 13 janvier 2018.

Articulation de la PSD2 et du RGPD : les données du problème

Le consentement. Pour mémoire, la PSD2 comporte des dispositions spécifiques concernant la protection des données notamment au travers de son article 94 qui dispose que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ».

Ce texte a soulevé de nombreuses interrogations, les données nécessaires à l’exécution d’un contrat étant généralement collectées sur la base de l’exécution de mesures contractuelles au sens de l’article 6, 1), b du RGPD et non sur la base d’un consentement qui par définition est réversible.

En l’espèce, le retrait de ce consentement aurait entraîné l’impossibilité de traiter les données nécessaires à l’exécution du contrat et donc empêcher la délivrance du service. En outre, la notion de consentement explicite ne concerne dans le RGPD que la collecte de données relevant de catégories dites « particulières » (3) dont les données financières ne font pas partie. Le recueil de ce consentement n’était donc pas sans soulever de questions.

La collecte de données relatives à des tierces parties. La réalisation d’un virement à l’intention d’un particulier nécessite la collecte et le traitement de données personnelles relatives à ce tiers notamment son relevé d’identité bancaire afin de procéder à cette opération. Alors même que la collecte des données de l’utilisateur des services de paiement était supposée reposer sur son consentement, les prestataires de service de paiement s’interrogeaient sur le fondement de la collecte de ces informations relatives à des tiers et notamment sur le fait qu’il convenait ou non de recueillir leur consentement à l’opération de paiement.

Articulation de la PSD2 et du RGPD : Les réponses du CEPD

Sur le consentement, le Comité affirme que le consentement au sens de l’article 94 s’entend d’un « consentement contractuel ». Le Comité considère donc qu’au sens du RGPD, la collecte des données nécessaires à la délivrance du service de paiement relève de l’exécution de mesures contractuelles (art. 6, 1, B du RGPD). Les personnes concernées doivent donc au moment de l’entrée en relation avec un prestataire de service de paiement être clairement informées des finalités et des modalités de traitement de leurs données, clauses qui doivent être distinctes des autres éléments du contrat.

Le Comité en conclut que le concept de consentement explicite de l’article 94 de la Directive n’est pas le même que celui de consentement explicite du RGPD. Si on peut  saluer cette position pragmatique, cette interprétation ne sera sans doute pas au goût des puristes, le consentement requis au titre de l’opération de paiement faisant l’objet de l’article 64 de la Directive, ce qui sous-tend que le consentement prévu à l’article 94 était bien relatif au traitement des données – interprétation qui semble être confirmé par le législateur français au vu des termes de la transposition (cf. infra).

Le Comité rappelle également que tout traitement de données supplémentaire pour des besoins qui ne seraient pas strictement nécessaires à l’exécution du contrat peuvent cependant relever du consentement pour autant que les conditions prévues dans le règlement soient respectées.

Sur la collecte de données relatives à des tiers, le Comité précise que la collecte et le traitement de ces données peuvent relever de l’intérêt légitime du responsable du traitement ou du tiers en l’espèce l’utilisateur du service de paiement. Il rappelle cependant que l’intérêt légitime du responsable du traitement est limité et déterminé par les attentes raisonnables des personnes concernées (en l’espèce transmettre ou recevoir une somme d’argent). Dès lors, ces données ne sauraient être utilisées pour une autre finalité que de procéder aux opérations de paiement.

Articulation de la PSD2 et du RGPD : les questions restant en suspens

Le Comité était également interrogé sur la question des standards techniques. Il révèle à cette occasion qu’il n’a pas été consulté sur ces standards ce qui semble regrettable au vu de la nécessité d’articuler l’ensemble de ces dispositions.

Le Comité n’était pas non plus interrogé sur la question de l’articulation des notifications de violation de données et des incidents de sécurité. Pour mémoire, les incidents opérationnels ou de sécurité majeurs doivent faire l’objet d’une notification tout comme les violations de données à caractère personnel. Les modalités de ces deux déclarations et les autorités de contrôle compétentes sont toutefois distinctes.

Enfin, l’ordonnance récemment ratifiée par le Parlement ne prend pas en compte ces éléments. Ainsi, l’article L. 521-5 du code monétaire et financier (CMF) reprend la terminologie de la Directive en précisant que « Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement exprès de l’utilisateur de services de paiement ». Le contrôle de ces dispositions incombant à la Cnil au titre de l’article L. 521-7 du CMF, il est probable que l’autorité prendra en compte la position du Comité sur ce sujet.

L’ensemble des standards techniques n’étant pas encore publiés, il est probable que ce sujet sera de nouveau d’actualité dans les prochains mois.

Aurélie Banck
Lexing Conformité RGPD Banque Assrance

(1) Loi de ratification (petite loi) : http://www.senat.fr/petite-loi-ameli/2017-2018/672.html
(2) Letter regarding the PSD2 Directive : https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf
(3) Font parties des catégories dites « particulières » de données l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle.