L’augmentation exponentielle de texte de règlementation en tout genre, nationale et européenne et l’essor des technologies numériques semblent nuire de plus en plus à la qualité des textes publiés aux journaux officiels. A cet égard, l’absence de cohérence entre deux réformes majeures de l’année 2018, la Directive sur les services de paiement[1] (DSP2) et le Règlement européen sur la protection des données personnelles, qui entrera en application le 25 mai 2018 (RGPD)[2], est révélatrice de la dichotomie entre une certaine pauvreté intellectuelle du personnel politique et la technicité grandissante de notre société.
L’article 94 de la DSP2 sur la protection des données dispose que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement. »
Il pourrait ainsi être tentant de rapprocher ce terme « consentement explicite » de la notion identique figurant dans le RGPD. Ce rapprochement n’est cependant pas pertinent dans la mesure où :
- Publiée en 2015, la DSP2 est antérieure au RGPD entré en vigueur en avril 2016 ;
- Le RGPD impose le recueil d’un consentement explicite dans des cas bien particuliers : lorsque des données sensibles sont recueillies, pour autoriser une décision individuelle automatisée (profilage…) ou encore en cas de transfert de données à caractère personnel hors de l’Union européenne.
- Le législateur français a préféré transposer la directive[3] en utilisant le terme de « consentement exprès »[4] de l’utilisateur de services de paiement.
Toutefois, si le législateur français semble avoir voulu se démarquer de la notion utilisée dans le RGPD, il n’apporte pour autant pas de définition à celle de « consentement explicite ». De plus, la notion de consentement explicite n’est pas davantage précisée dans le RGPD mais s’entendrait plutôt comme un consentement encore plus fort que le consentement classique, ce dernier étant déjà fortement caractérisé car défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Enfin, dans ses guidelines de 2011, le G29 explique que l’expression « consentement explicite » a le même sens que « consentement exprès » !
Par ailleurs, plus important que de savoir si le consentement au traitement de données personnelles nécessaires à l’exécution au service de paiement doit être explicite, exprès ou classique, il convient de se demander si un consentement, quel que soit sa forme, doit être recueilli lors du traitement de ces données. En effet, la DSP2 reprend deux notions qui constituent chacune des bases légales indépendantes dans le RGPD : le consentement et l’exécution du contrat. Par conséquent, en attendant une clarification des autorités qui tarde à venir[5], deux hypothèses sont envisageables et à envisager :
- Première hypothèse : le législateur, en rendant obligatoire le recueil du consentement, a voulu faire du consentement la base légale autorisant la collecte de données à caractère personnel[6]: dans ce cas, le traitement des données à caractère personnel devra faire l’objet d’un consentement spécifique indépendant des termes du contrat. Il restera à déterminer si une clause informant des mentions légales et des droits de l’utilisateur mise en valeur au sein du contrat et accompagnée d’une case à cocher autorisant le traitement de ces données suffisent ou s’il conviendra de détacher intégralement cette clause du contrat et la faire accepter de manière indépendante par l’utilisateur de services de paiement. Cette deuxième solution est déjà la norme pour la collecte de données personnelles en ligne : l’information de la personne concernée ne doit pas être « noyée » dans les CGU mais apparaitre directement sur le formulaire.
Dans cette hypothèse ou le consentement devient la base légale permettant le traitement de données à caractère personnel nécessaires à l’exécution de services de paiement, le retrait du consentement au traitement sera possible, de même que l’exercice d’un droit d’opposition au traitement. Le prestataire de services de paiement devra ainsi cesser de traiter les données à caractère personnel concernées en essayant de limiter au maximum l’impact sur le service fournit. Cependant, en matière de service de paiement, l’exercice de ces droits ne pourra avoir pour conséquence que la fin du service proposé par le prestataire et donc la résiliation du contrat selon les termes prévus par ce dernier.
- Deuxième hypothèse : le législateur a abusivement utilisé le terme de consentement et aurait dû utiliser le terme « d’information claire dans le contrat». Pour le législateur, la base légale permettant le traitement des données à caractère personnel nécessaires à l’exécution des services de paiement est l’exécution du contrat[7]. Dans ce cas, le consentement de la personne concernée par le traitement n’est pas nécessaire. L’information de l’utilisateur des services de paiement des mentions légales obligatoires et de ses droits[8] par l’intermédiaire d’une clause insérée dans le contrat, ainsi que l’acceptation « classique » des termes du contrat suffisent. Par conséquent, conformément au RGPD, le traitement ne reposant pas sur le consentement mais sur l’exécution du contrat, le retrait du consentement ne sera pas possible et le droit d’opposition au traitement ne pourra pas être exercé. L’utilisateur ne pourra faire cesser le traitement qu’en demandant la résiliation du contrat selon les termes de ce dernier.
Cette dernière hypothèse est certainement la plus probable et la plus souvent envisagée car correspondant le plus à l’esprit de la règlementation en vigueur en matière de protection des données à caractère personnel.
Les conséquences sur les contrats de prestation de services de paiement dépendront dès lors de la clarification opérée par les autorités françaises et / ou européennes. En espérant qu’elle intervienne, la CNIL ayant de son côté préféré éluder le point dans sa délibération sur la transposition de la DSP2 du 22 juin 2017…
Alexandre MANDIL
[1] Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[3] Ordonnance n°2017-1252 du 9 août 2017 – art. 12
[4] Code monétaire et financier – Article L521-5
[5] Dans sa délibération du 22 juin 2017 portant avis sur la transposition de la DSP2, la CNIL préfère éluder le sujet…
[6] Article 6 a) du RGPD
[7] Article 6 b) du RGPD
[8] Article 13 du RGPD