Le futur guide RGPD pour la DSP2 ?
LES FAITS (mise à jour du 29 septembre 2020)
Le Comité Européen pour la Protection des Données Personnelles (CEPD dit en anglais EDPB, European data Protection Board ) avait publié le 22 juillet dernier sa proposition de guide RGDP sur la DSP2. Cette consultation publique était ouverte à toute personne morale ou publique jusqu'au 16 septembre dernier : Ont été déposés 39 avis de toutes nationalités dont un avis d'un TPP français.
Après cette consultation, l’EDPB émettra son guide définitif, qui servira de base pour l’interprétation du RGPD de façon homogène dans toute l’Union Européenne pour le traitement de données personnelles dans le cadre de la DSP2.
EXTRAIT DU GUIDE
“These guidelines aim to provide further guidance on data protection aspects in the context of the PSD2, in particular on the relationship between relevant provisions on the GDPR and the PSD2. The main focus of these guidelines is on the processing of personal data by AISPs and PISPs. As such, this document addresses conditions for granting access to payment account information by ASPSPs and for the processing of personal data by PISPs and AISPs, including the requirements and safeguards in relation to the processing of personal data by PISPs and AISPs for purposes other than the initial purposes for which the data have been collected, especially when they have been collected in the context of the provision of an account information service. This document also addresses different notions of explicit consent under the PSD2 and the GDPR, the processing of ‘silent party data’, the processing of special categories of personal data by PISPs and AISPs, the application of the main data protection principles set forth by the GDPR, including data minimisation, transparency, accountability and security measures”.
NOTRE DECRYPTAGE
En préliminaire, rappelons que toutes les données de paiement sont des données personnelles au sens du RGPD, dont certaines peuvent revêtir en sus le caractère de données sensibles, au sens de la loi de protection des données personnelles (exemple : le sexe, les pratiques religieuses, les données de santé…). Un traitement de données personnelles est défini comme une opération portant sur des données personnelles, quel que soit le procédé utilisé et démarre dès la collecte de la donnée : collecter, enregistrer, organiser, conserver, modifier, rapprocher avec d'autres données, transmettre, etc...
Le guide permettra enfin de fixer le cadre légal du consentement explicite, comme défini par la DSP2 : à savoir un consentement contractuel, qui définit une exigence additionnelle au contrat pour l’accès, le traitement et le stockage de données personnelles pour la finalité d’un service de paiement. Grâce au consentement explicite de la DSP2, le principe de base d’interdiction du traitement de données sensibles au sens RGPD pourrait être levé si l’information de l’utilisateur, le processus de consentement exprès, et la procédure liée à l’analyse d’impact vie privée sont respectés et conformes pour une telle dérogation.
Pour le traitement des données personnelles par l’initiateur ou l’agrégateur de paiement (PISP ou AISP), le guide rappelle l’impossibilité de traiter les données pour un autre service que celui spécifié dans le contrat de la personne et, dans l’état de la DSP2, uniquement lié au compte de paiement. Ces obligations s’appliquent également au détenteur du compte (l’ASPSP) qui doit se limiter à donner accès aux données strictement nécessaires sous le couvert d’un cadre légitime légal défini par une loi nationale. Le seul autre cas légitime potentiel (sans contrat ou sans consentement) peut être la conformité avec les textes européens (directive AMLD) qui régissent la lutte contre le blanchiment et la lutte contre le terrorisme (mais ce guide n’a pas pour objet d'en définir les modalités de conformité).
Or la protection des données personnelles ne se limite pas à celle de la personne qui a signé le contrat avec le ou les PSP, mais concerne également toute tierce partie « silencieuse » (dite "silent party") qui est une personne physique B qui est impliquée dans l’opération de paiement du compte de la personne A qui a un service avec un PSP. Le CEPD demande que des mesures de protection des données soient aussi mises en place pour protéger cette tierce partie silencieuse aussi bien par l’AISP ou le PISP, que par le détenteur de compte (ASPSP). Ainsi son identité ou son IBAN ne devraient pas être communiquées dans tous les cas par l’ASPSP aux TPP (Tiers partie de Service de Paiement).
Le CEPD recommande fortement aux détenteurs de compte (ASPSP) de mettre en œuvre des outils pour se conformer au principe de gestion des données personnelles, tels que :
- des tableaux de bord (« dashboard ») pour la gestion de leur vie privée par les utilisateurs, qui permettraient de satisfaire au principe de transparence et d’un consentement granulaire par finalité de traitement, et au retrait du consentement explicite donné pour un TPP ;
- des filtres numériques pour le respect du principe de minimisation, qui aidera les agrégateurs à collecter uniquement des données personnelles pour lesquelles elles ont la légitimité contractuelle de le faire.
POUR EN SAVOIR PLUS SUR LES 39 AVIS (mise à jour du 29 septembre 2020) :
- 7 avis de citoyens ou d’entités défendant les usagers : Ces avis sont très favorables au guide RGPD proposé en particulier pour la protection des données des « silent parties » et des données sensibles. Certains sollicitent même l'EDPB pour des prescriptions plus fortes : obligations plus fermes d’information et de consentement au regard du profilage et du scoring (décision automatique), sanctions plus lourdes (retraits licences) ...
- 10 avis pour les ASPSP (détenteurs de compte) : Au-delà de l’inquiétude légitime pour les modalités et la peur de se voir appliquer les mêmes règles que pour les TPP, nombre d'acteurs refusent en bloc les préconisations de l’EDPB. Alors que les banques se veulent être l’acteur de confiance, en assurant le rôle du coffre-fort digital des données de leurs clients, elles ne semblent pas vouloir jouer un rôle proactif ni dans la responsabilité des accès aux données par les TPP, ni dans les moyens techniques et organisationnels (filtrage des données sensibles ou de "silent parties", dashboard de consentement granulaire…)
- 17 avis pour les TPP (PISP ou AISP) : Les réflexions sont plurielles. Ces acteurs sont en général demandeurs d'exemples plus précis pour les aider à la mise en œuvre de certaines mesures de protection comme pour les silent parties. Ils refusent ou craignent le filtrage des données et la gestion des consentements par dahsboard sous le contrôle des ASPSP, ce qui pourrait induire un obstacle à leurs activités.
TPP et ASPSP se rejoignent souvent sur des principes de base :
- Réécrire le guide en distinguant bien le rôle de chacun : AISP, PISP, ASPSP
- Refus du critère conjoint de responsabilité de traitement et des mesures associées
Certains TPP et ASPSP font également front commun pour refuser l'application du RGPD tel un règlement supérieur lex specialis à la DSP2 et ainsi éviter les obligations afférentes au RGPD (traitement des données sensibles, analyse d'impact vie privée, consentement granulaire). Pour échapper totalement au RGPD, certains croient même dans un leurre : tous les traitements pour des services de paiement pourraient avoir comme légitimité l'intérêt public général. Le superviseur danois est contre cette option pour les TPP. Rappelons que seule une base légale peut donner un statut d'intérêt général public à un traitement d’une activité privée. C’est le cas du traitement de la lutte contre la fraude au travers de la directive AMLD pour des intérêts supérieurs des Etats. A ce propos, tous les acteurs sont en attente d'un guide précis pour l'application du RGPD pour la lutte contre la fraude : quelle est la proportionnalité d'une collecte massive de données, d'algorithmes ou d'IA pour du profilage et une décision automatique pour le besoin de la lutte contre la fraude en temps réel ? Les mêmes questions se posent sur l'analyse de risque dite TRA, pour la dérogation à l'authentification forte en vue d'acter le consentement explicite de la DSP2.
L'EDPB devrait aussi se pencher sur l'épineuse question d'un TPP américain : Pour le transfert des données avec les protocoles EMV 3DS V2, comment se conformer au RGPD suite aux décisions de la CJUE (Cour de Justice de l'Union Européenne) pour la fin du Privacy Shield et pour les conditions des clauses contractuelles type...