Blog
Jan 08

Données personnelles : publication de lignes directrices sur l’articulation entre la DSP2 et le RGPD

Le 15 décembre 2020, l’EDBP a publié des lignes directrices sur l’articulation entre la Directive Services de Paiement 2 (ci-après « DSP2 »)[1] et le Règlement général sur la protection des données à caractère personnel (ci-après « RGPD »).

La DSP2 prévoit l’introduction d’un cadre juridique pour les nouveaux prestataires de service de paiement – à savoir les services d’information de compte[2] (i) et les services d’initiation de paiement[3] (ii) – leur permettant d’obtenir l’accès aux données bancaires des personnes souhaitant utiliser leurs services[4].

Les données bancaires étant considérées comme des données personnelles, leur traitement doit être conformes aux garanties prévues dans la DSP2 (ndlr : les États membres ont dû transposer la DSP2 dans leur droit national avant le 13 janvier 2018, soit avant l’entrée en vigueur du RGPD).

Ainsi :

  • L’Article 94, paragraphe 1, de la DSP2 dispose que « 1.   Les États membres autorisent le traitement des données à caractère personnel par les systèmes de paiement et les prestataires de services de paiement lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. La communication aux personnes d’informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel aux fins de la présente directive sont effectués conformément à la directive 95/46/CE et aux règles nationales transposant ladite directive, ainsi qu’au règlement (CE) no45/2001 ».
  • Le Considérant 89 de la DSP2 indique que lorsque des données à caractère personnel sont traitées aux fins de la DSP2, la finalité doit être précisée (i), la base juridique pertinente doit être visée (ii) et les exigences de sécurité applicables de la directive 95/46/CE satisfaites (iii), et les principes de nécessité, de proportionnalité, de limitation de la finalité et de la durée proportionnée de conservation doivent être respectés (iv). De même, la protection des données dès la conception et la protection des données par défaut doivent être intégrées dans tous les systèmes de traitement des données développés et utilisés dans le cadre de la présente directive (v).
  • Le Considérant 93 de la DSP2 dispose « qu’il est nécessaire de définir un cadre juridique clair fixant des conditions dans lesquelles les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes peuvent fournir leurs services avec le consentement du titulaire du compte (…). Il convient que les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes, d’une part, et le prestataire de services de paiement gestionnaire du compte, d’autre part, respectent les nécessaires exigences de protection des données et de sécurité prescrites ou visées dans la présente directive ou incluses dans les normes techniques de réglementation (…)».

Le RGPD prévoit, quant à lui, un ensemble cohérent de règles pour le traitement données à caractère personnel dans tous les Etats membres de l’Union européenne.

Depuis l’entrée en vigueur du RGPD, la question de l’articulation de ses dispositions avec celles de la DSP2 se pose.

Les lignes directrices de l’EBDP ont précisément vocation à donner des orientations sur les aspects relatifs à la protection des données dans le contexte de la DSP2.

Elles donnent des solutions concrètes aux prestataires de services de paiement pour se mettre en conformité avec le RGPD tout en respectant les obligations qui découlent de la DSP2.

Notre Cabinet UGGC et son équipe d’Avocats spécialisés en données personnelles sont à votre disposition pour vous assister dans cette mise en conformité.

Par Marie-Alix André et l’équipe IP/IT du Cabinet UGGC Avocats

Source : EDBP

Lien : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-062020-interplay-second-payment-services_en

[1] Voir : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32015L2366

[2] Ex : Linxo

[3] Ex : Apple Pay

[4] En d’autres termes, il s’agit de la consécration de l’open banking.