LES IMPACTS JURIDIQUES DE LA DSP2 SUR LE RGPD

 

DECOUVRIR NOTRE EQUIPEDECOUVRIR NOS OFFRES
avocat rgpd

Le RGPD engage particulièrement les banques, qui collectent des données personnelles très sensibles. Il constitue ainsi un renforcement du cadre existant pour les établissements bancaires au sein desquels les avocats ont un rôle important à jouer en matière de conformité.

La Directive sur les services de paiement 2 (DSP 2)[2] transposée en droit français par une ordonnance du 9 août 2017[3]  et s’applique depuis le 13 janvier 2018. Ainsi, elle actualise le cadre réglementaire des paiements en Europe en permettant l’émergence de « services de paiement numériques novateurs, sûrs et conviviaux ».

Le règlement général européen sur la protection des données (RGPD) entré en vigueur par la loi du 25 mai 2018 renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

L’objectif est de renforcer la transparence et la sécurité en matière de données personnelles.

Ainsi, la notion de donnée personnelle est définie comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »[1].

Les obligations issues de DSP2 

Le nombre de cyberattaques a énormément augmenté entre la mise en vigueur de la directive et aujourd’hui.

Il est donc apparu nécessaire de protéger de manière adéquate les utilisateurs contre ces risques. C’est pourquoi, le considérant n°95 de la Directive énonce que « la sécurité des paiements électroniques est fondamentale pour garantir la protection des utilisateurs (…) Tous services de paiement proposés par voie électronique devraient être sécurisés, grâce à des technologies permettant de garantir une authentification sûre de l’utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude ».

Par conséquent, certaines dispositions ne sont pas immédiatement entrées en vigueur. En effet, un délai d’adaptation a été prévu reportant leur application au 14 septembre 2019. Il s’agit notamment de :

 

  • L’obligation de l’authentification forte. Elle est obligatoire pour les paiements de plus de 30 euros, afin de réduire la fraude dans l’e-commerce. L’authentification forte se définit par au moins deux facteurs entre un mot de passe, un appareil que l’on possède et une donnée biométrique telle que l’empreinte digitale, la voix ou l’iris.
  • L’ouverture du marché à de nouveaux acteurs (banque en ligne, application mobile bancaire) en permettant un accès aux informations sur les comptes par un canal de communication sécurisé. Les textes prévoient qu’une authentification forte du client soit demandée a minima tous les 90 jours.

Un alignement entre la DSP2 et le RGPD

La DSP2 oblige les banques à fournir, avec l’accord de leurs clients, l’accès à leurs données à des acteurs tiers tels que les initiateurs de services de paiement (exemple : PayPal) ou des prestataires de services d’informations sur les comptes. Dans le but de pouvoir assurer une « communication standardisée et sécurisée », les banques ont l’obligation d’adapter leur interface bancaire en ligne ou de créer une interface spécifique (une API, une interface de programmation interopérable). Cette interface permet d’éviter les techniques de « web scraping »[4], basées sur l’utilisation par les initiateurs de paiement des identifiants et des mots de passe des clients, en utilisant leurs codes d’accès.

Ainsi, les banques françaises ont travaillé depuis quatre ans à la définition, au développement et à la mise en production d’API (Application Programming Interface).

Par conséquent, le RGPD et DSP2 correspondent à deux réglementations très importantes. Certaines exigences peuvent sembler contradictoire en raison de l’ouverture aux paiements par la DSP2. En effet,  l’accroissement de l’accessibilité des données exigera la mise en place de mesures de protection importante. C’est sur ce point que la DSP2 et le RGPD se rejoignent. D’un côté, on facilite l’accès aux données, et de l’autre côté, on s’assure que l’utilisation de ces données est réglementée et qu’elles sont gérées par leur propriétaire légitime.

En savoir plus :

[1] Article 2 loi « Informatique et Liberté » de 1978

[2] Directive 2015/2366

[3] Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

[4] La capture de données d’écran (screen scraping en anglais) est une technique par laquelle un programme récupère des données normalement destinées à être envoyées à un dispositif de sortie (généralement un moniteur) afin d’y extraire des informations.

Articles similaires

Contactez-nous

Un simple email suffit. Nous vous rappelons

15 + 5 =

Sign up for latest Newbies

30 Place de la Madeleine

75008 PARIS

 

40 Rue Jean Lecanuet

76000 ROUEN

 

  01 85 73 56 66

contact@hashtagavocats.com

Pin It on Pinterest

Share This

Laissez-nous vos coordonnées pour

UNE CONSULTATION GRATUITE

AVEC L'UN DES ASSOCIES DU CABINET.

Remplissez le formulaire ou cliquez directement ici pour prendre rendez-vous:

https://arnaud-touati.com/fr

Votre message nous est bien parvenu

Une erreur s'est produite pendant l'envoi. Veuillez svp réessayer

En cliquant sur 'j'accepte d'être contacté(e)', vous autorisez le cabinet Hashtag Avocats à prendre contact avec vous pour votre consultation.

Demandez à un associé du cabinet de vous rappeler