Auteurs : Florence Chen et Bruno Joanides

Date : Janvier 2017

Revue Banque : http://www.revue-banque.fr/management-fonctions-supports/article/les-prestataires-services-paiement-face-au-nouveau

Pour appréhender les changements issus du Règlement général sur la protection des données adopté en mai dernier, il est important de sérier clairement les données –  personnelles, sensibles ou de paiement –, puis de déterminer les obligations applicables aux prestataires de services de paiement (PSP). Ces derniers devront endosser une responsabilité accrue dans les traitements des données, mais bénéficieront des allégements administratifs prévus par le règlement.

La réglementation relative à la protection des données personnelles vient d’être actualisée avec l’adoption du Règlement général sur la protection des données, dit RGPD, le 24 mai 2016. Il entrera directement en application au sein des États membres de l’UE le 25 mai 2018 et remplacera la directive de 1995 ainsi que les textes nationaux applicables en la matière [1].

L’environnement juridique de l’ensemble des acteurs du paiement, prestataires de services de paiement (PSP) ou nouveaux acteurs créés par la nouvelle directive sur les services de paiement (les initiateurs et les agrégateurs [2]), va par conséquent connaître de grands bouleversements au 1er semestre 2018 avec l’entrée en application de cette directive puis du RGPD.

Pour bien appréhender ces changements, il est important en premier lieu, d’apporter certains éclaircissements terminologiques. Il conviendra ensuite d’étudier la ou les qualification(s) juridique(s) applicable(s) aux PSP tiers au titre du RGPD, pour déterminer ensuite les obligations qui leur sont applicables. Enfin pour assurer une application correcte de la réglementation, la CNIL dont les pouvoirs sont renforcés par le RGPD demeure garante du respect de la réglementation relative à la protection des données.

Données personnelles et paiement

Le RGPD tout comme la directive de 95 encore en application, vise à protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel. Cette protection est un droit fondamental garanti par les textes européens [3].

Le RGPD s’appliquera aux traitements réalisés dans le cadre de l’activité des responsables de traitement ou des sous-traitants établis dans l’Union, quel que soit le territoire sur lequel le traitement est effectué. Le RGPD s’appliquera également lorsque le responsable de traitement ou le sous-traitant est établi hors de l’Union si les deux conditions cumulatives suivantes sont remplies :

  • les données concernent des personnes se trouvant sur le territoire de l’Union ;
  • et les traitements sont liés à l’offre de biens ou de services distribuée dans l’Union ou au suivi du comportement des personnes au sein de l’Union.

Certaines catégories particulières de données, dites « sensibles » [4], font logiquement l’objet d’une protection renforcée aussi bien sous l’égide de la directive de 95 que sous le RGPD. Il s’agit des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, l’état de santé, l’orientation sexuelle, ou encore les données biométriques et génétiques des personnes concernées. En principe, les traitements portant sur ce type de données sont interdits, sauf circonstances dérogatoires prévues par la réglementation [5].

Cette catégorie de données sensibles ne doit pas être confondue avec la notion de « données de paiement sensibles » qui sont des données susceptibles d’être utilisées pour commettre une fraude [6]. Ne s’agissant pas de données sensibles au sens de la réglementation relative aux données personnelles, les traitements portant sur des données de paiement sensibles ne sont pas frappés d’interdiction. En revanche, les prestataires de services de paiement sont dans la nécessité d’accomplir des traitements relatifs aux données de paiement sensibles pour en sécuriser l’usage et l’accès, ou encore tout simplement pour exécuter une opération de paiement.

Concernant le traitement des données bancaires, la CNIL a formulé des recommandations en cas de d’opération de paiement en ligne. Le numéro de la carte bancaire ne peut être conservé par une boutique en ligne qu’avec le consentement exprès du porteur de la carte (exprimé généralement en cochant une case). Le site marchand doit crypter les données bancaires par l’intermédiaire d’un algorithme de chiffrement « fort » de manière à sécuriser l’accès à ces données. De plus, le site ne doit pas conserver les données bancaires une fois la transaction finie.

Pour le reste, la réglementation relative à la protection des données personnelles ne présente pas de particularité à l’égard des données bancaires qui ne sont pas assimilées à une catégorie particulière de données personnelles.

Le périmètre de responsabilité des PSP tiers

Sous la réglementation actuellement applicable en France, c’est-à-dire la loi informatique et libertés, chaque traitement de données à caractère personnel entrepris relève de la responsabilité d’un seul responsable de traitement ; c’est-à-dire la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et moyens du traitement [7]. Cette disposition diffère de la directive de 95 qui prévoit déjà que la responsabilité d’un traitement peut peser sur plusieurs responsables dès lors qu’ils définissent conjointement les finalités et moyens du traitement. Avec le règlement européen dont l’application sera uniforme sur l’ensemble du territoire de l’Union Européenne, la notion de co-responsabilité s’imposera. L’article 26 [8] du RGPD prévoit que les responsables conjoints d’un traitement définissent de manière transparente leurs obligations respectives permettant d’assurer le respect des obligations réglementaires [9].

Ainsi par exemple, dans le cadre de leurs activités d’initiation de paiement ou d’agrégation des comptes, les PSP tiers revêtiront la qualité de responsable de traitement lorsqu’ils définiront ou contribueront à définir les finalités et les moyens des traitements mis en œuvre.

Les traitements de données à caractère personnels peuvent également être exécutés par sous-traitance. Dans ce cas, le sous-traitant réalise le traitement sur instruction du responsable de traitement qui définit les finalités et moyens du traitement. La responsabilité du sous-traitant est donc limitée.

Dans la mesure où les liens entre les PSP tiers et les autres acteurs de l’écosystème des paiements ne sont pas encore clairement définis tant les options apparaissent nombreuses (partenariat commercial, partenariat sous mandat d’agent, etc.), il faudra s’attacher à la réalité opérationnelle pour qualifier la responsabilité, la co-responsabilité ou la sous-traitance du PSP tiers à l’égard des traitements relatifs aux données bancaires.

Droits et obligations découlant du RGPD

Les PSP tiers qui entreprennent des traitements de données à caractère personnel en qualité de responsable de traitement doivent veiller au respect des principes qui sous-tendent la protection des données à caractère personnel : licéité, loyauté et transparence des traitements, collecte des données limitées aux finalités déterminées, minimisation quantitative des données, exactitude des données, limitation de la conservation et garantie d’intégrité et de confidentialité. Les PSP tiers, en tant que responsables de traitement doivent être en capacité de prouver qu’ils remplissent ces engagements.

Pour qu’un traitement soit licite, il faut qu’au moins une des conditions suivantes soit remplie [10] :

  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  • le traitement peut être mis en œuvre s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ;
  • le traitement peut être nécessaire au respect d’une obligation légale à laquelle le responsable est soumis ;
  • le traitement peut être justifié par la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • le traitement peut être entrepris s’il est nécessaire à l’exécution d’une mission d’intérêt public ;
  • enfin, le traitement est licite s’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement ou par un tiers.

Le RGPD a précisé que lorsque le traitement est entrepris sur la base du consentement de la personne concernée, il incombe au responsable de traitement de prouver qu’il a recueilli un consentement exprimé sans ambiguïté. Il doit également s’assurer de respecter le droit de la personne concernée à retirer son consentement à tout moment.

En tant que responsable de traitement, les PSP devront aussi s’assurer de respecter les droits des personnes concernées. En plus des traditionnels droits qui existaient déjà sous la directive de 95 (droit d’accès, droit de rectification, droit d’opposition), le RGPD consacre le droit à l’oubli [11] et à la portabilité des données [12].

Les impacts organisationnels

Le plus important bouleversement du RGPD concerne la simplification des démarches administratives pour les responsables de traitements. Sous la directive de 95, le principe était la notification/déclaration préalable de tout traitement à l’autorité de contrôle compétente.

La directive prévoit jusqu’à présent, une liste limitative de dérogations à ce principe. Parmi elles, se trouve à l’article 18, la possibilité pour le responsable de traitement de nommer un détaché à la protection des données à caractère personnel ou « correspondant informatique et libertés » (CIL) en France, ce dernier étant chargé d’assurer de manière indépendante la conformité des traitements et de tenir un registre de l’ensemble des traitements réalisés par le responsable. Ainsi, lorsqu’un CIL est nommé, le responsable de traitement bénéficie d’une simplification administrative : la tenue d’un registre remplace l’obligation de déclaration préalable.

Avec le RGPD, ce cas dérogatoire devient le principe puisqu’à partir de mai 2018, tous les responsables de traitement devront tenir un registre des activités de traitement effectuées sous leur responsabilité [13]. Les sous-traitants devront également tenir un tel registre pour les traitements effectués pour le compte de leur(s) mandant(s).

D’autres impacts organisationnels forts sont issus du RGPD. Il sera désormais requis pour les responsables de traitement de procéder à une analyse d’impacts des opérations de traitements envisagées sur la protection des données à caractère personnel, afin de déterminer si les traitements envisagés sont susceptibles de présenter un risque élevé pour les droits et libertés des personnes physiques. Si un tel risque est avéré, le responsable de traitement devra consulter l’autorité de contrôle préalablement à la mise en œuvre du traitement. L’autorité de contrôle compétente, la CNIL en France, précisera quels types d’opérations de traitement devront faire obligatoirement l’objet d’une analyse d’impacts et pour lesquels une dérogation est admise.

Ces analyses d’impacts pourront être effectuées par le délégué à la protection des données, fonction succédant à celui de CIL. À la différence du CIL qui était facultatif, le délégué à la protection des données sera obligatoirement nommé dans certaines entreprises. Il s’agit des entreprises (responsable ou sous-traitant) dont les activités de base consistent en des opérations de traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées. Pour les autres entreprises, la désignation d’un délégué reste facultative, sauf disposition nationale contraire. Ce délégué devra être choisi sur la base de compétences professionnelles, il pourra s’agit d’un salarié ou bien d’un prestataire externe intervenant sur la base d’un contrat de service. Le délégué a pour mission d’informer et de conseiller le responsable, le sous-traitant ainsi que leurs employés sur les obligations qui pèsent sur eux au titre de la réglementation relative à la protection des données, il est aussi le point de contact de l’autorité de contrôle, soit la CNIL en France.

La CNIL et les autres autorités de contrôle

La CNIL est une autorité administrative indépendante chargée de veiller à la protection des données à caractère personnel. Elle a également pour mission de faciliter le libre flux de données au sein de l’Union européenne ; elle accompagne à ce titre les responsables de traitement dans leurs démarches. Chaque État membre dispose d’une autorité comparable.

Afin d’assurer une meilleure cohérence face à des traitements qui ne connaissent pas de frontières géographiques, le RGPD a renforcé la coopération entre les autorités de contrôle et prévoit désormais que les entreprises établies sur le territoire de plusieurs États membres bénéficieront d’un guichet unique, c’est-à-dire qu’elles seront rattachées à une autorité principale.

Afin d’assurer leurs missions, la CNIL et les autres autorités, disposent d’un pouvoir d’enquête sur place ou sur pièce, et de pouvoirs de sanction. En cas de violation de la réglementation la CNIL peut prononcer une amende à l’encontre du responsable de traitement, le plafond de l’amende a été rehaussé par le RGPD, passant de maximum 300 000 euros à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.

 

[1]En France, il s’agit de la loi informatique et libertés.

[2]Appelés aussi « Tiers de paiement » ou « PSP tiers » (Third Party Provider – TPP).

[3]Article 8 §1 de la charte des droits fondamentaux de l’Union Européenne et article 16 §1 du traité sur le fonctionnement de l’Union européenne.

[4]Considérant 10 du RGPD.

[5]Voir article 8 paragraphe 2 de la directive de 95 et l’article 9 paragraphe 2 du RGPD.

[6]Article 4 point 32 de la DSP2.

[7]Article 3 I de la loi informatique et libertés.

[8]Nouveau par rapport à la directive de 95.

[9]Sauf domaines de responsabilité déjà défini par le droit de l’Union ou par un droit national.

[10]Article 6 du RGPD.

[11]Article 17 du RGPD.

[12]Article 20 du RGPD.

[13]Article 30 du RGPD