La directive DSP II (directive sur les services de paiement) qui encadre l’accès aux prestations de services de paiement à de nouveaux acteurs (autres que les banques appelés tiers fournisseurs ou Third Party Providers) ainsi que la fourniture de nouveaux types de services de prestations de paiement prévoit des dispositions spécifiques en ce qui concerne les bases légales pour le traitement des données des utilisateurs de services de paiement.
Ce dispositions ont soulève un certain nombre d’interrogations dans la mesure ou elles ne sont pas claires dans leur application pratique ou dans leur justification.
Récemment, le Comité européen de protection des données à tenté de répondre à cette problématique en fournissant (à posteriori) des lignes directrices ayant pour but de permettre aux prestataires de services de paiement d’avoir une vision plus claire de leurs obligations.
Articulation difficile entre la directive DSP II et le RGPD.
La directive DSP II prévoit dans son article 94 (et 64 en ce qui concerne les nouveaux services de paiement) que les prestataires de services de paiement n’ont accès aux données à caractère personnel nécessaires à l’exécution de leurs services de paiement et ne les traitent qu’avec le consentement explicite de l’utilisateur de services de paiement.
Ces dispositions n’ont pas manqué d’interpeller les prestaires de services concernés étant donné que les données à caractère personnel des utilisateurs sont nécessaires à l’exécution des services demandés et que l’implémentation d’une demande de consentement conforme au RGPD pour chacun des utilisateurs implique des ressources considérables pour ces prestataires ainsi que le fait que les utilisateurs puissent retirer leur consentement à tout moment ce qui rendrait l’exécution des services impossible.
En pratique, si on considère que la directive DSP II prime sur les dispositions du RGPD et si les prestataires de services de paiement devaient appliquer à la lettre les dispositions de la directive DSP II, ceux-ci devraient alors demander de manière explicite à leurs clients leur consentement pour chaque type de traitement de données personnelles (par exemple relatives aux transactions bancaires) dans le cadre de l’exécution de services demandés par ceux-ci.
Ceci en plus de créer de la confusion sur le plan légal, engendrerait des couts supplémentaires et le rallongement de tous les processus internes pour les prestaires de services de paiement.
Le fait d’utiliser le consentement comme base légale créerait également le risque que le client puisse retirer celui-ci à tout moment ce qui entraverait la poursuite de l’exécution des services demandés par le client.
Eclairage et interprétation, du CEPD (Comité européen de protection des données).
Dans une lettre du 5 juillet 2018, le CEPD explique que le consentement au sens de l’article 94 (et 64 et suivants) de DSP II s’entend comme un « consentement contractuel renforcé » qui relève de l’exécution de mesures contractuelles tout comme pour la base légale prévue à l’article 6,1,b du RGPD mais qui implique une obligation d’information préalable des utilisateurs par le responsable du traitement qui est renforcée.
En pratique, les personnes concernées (utilisateurs) doivent donc au moment de l’entrée en relation avec un prestataire de service de paiement être clairement informées des finalités et des modalités de traitement de leurs données dans des clauses qui doivent être distinctes des autres éléments du contrat.
Dans ses lignes directrices 06/2020, le CEPD confirme son interprétation dans sa lettre de 2018 et conclut à ce sujet (p15) que :
“Le consentement explicite en vertu de la DSP II est différent du consentement (explicite) en vertu du RGPD. (….)
Cela implique que les responsables du traitement doivent fournir aux personnes concernées des informations spécifiques et des informations explicites sur les finalités spécifiques identifiées par le responsable du traitement pour lesquelles les données personnelles sont consultées, traitées et conservées.“
Quid si les données traitées dans le cadre des services de prestation de paiements sont des données concernant des tiers ou des données sensibles ?
Si les prestataire de services de paiement collectent également des données de tiers qui sont nécessaires pour pouvoir offrir ses services à ses utilisateurs ?
Le Comité précise que la collecte et le traitement de ces données peuvent relever de l’intérêt légitime du responsable du traitement ou du tiers en l’espèce l’utilisateur du service de paiement.
Par ailleurs, les données transactionnelles peuvent renseigner de manière directe ou indirecte les prestataire de services de paiement sur des données dites sensibles concernant leurs clients.
Par exemple des informations quant aux affiliations politiques ou syndicales de ceux-ci ou à sa vie privée.
Lors du traitement de donnée sensibles dans le cadre de services de prestations de paiement, il faut donc conclure que même “le consentement contractuel renforcé” n’est plus adéquat.
Le prestataire des services de paiement devra donc dans le cas ou il traite des données sensibles (ou “catégories particulières de données” selon le RGPD) demander le consentement libre, expresse, explicite et spécifique des utilisateurs qui est conforme aux articles 9 (2),a et 6 du RGPD.
Selon le Comité, une solution pour éviter de tomber dans ce cas de figure qui est très problématique pour les prestataires de services de paiement consisterait à rendre ces données (sensibles) anonymes ou indisponibles (aux prestataires de services de paiement qui les traitent) par le biais de l’adoption de mesures techniques et organisationnelles adéquates.
Conclusion
Les prestataires de services de paiement doivent être particulièrement vigilants lorsqu’ils proposent leurs services d’avoir préalablement informé leurs clients de manière transparente et suffisamment précise sur les traitements envisagés via des clauses distinctes.
Le traitement de données de tiers qui est nécessaire pour l’exécution du contrat doit être correctement justifié sur base de l’intérêt légitime.
Si des données sensibles sont traitées alors une analyse d’impact préalable est nécessaire afin d’identifier et de limiter les risques et le cas échéant demander le consentement ou prévoir de mesures permettant l’anonymisation de ces données (y compris pour les prestataires de services de paiement).
Pour toute demande en lien avec ce sujet , contactez nous : info@md-lex.be ou via le formulaire de contact sur le site : www.md-lex.be