Le RGPD engage particulièrement les banques, qui collectent des données personnelles très sensibles. Il constitue ainsi un renforcement du cadre existant pour les établissements bancaires au sein desquels les avocats ont un rôle important à jouer en matière de conformité.
La Directive sur les services de paiement 2 (DSP 2)[2] transposée en droit français par une ordonnance du 9 août 2017[3] et s’applique depuis le 13 janvier 2018. Ainsi, elle actualise le cadre réglementaire des paiements en Europe en permettant l’émergence de « services de paiement numériques novateurs, sûrs et conviviaux ».
Le règlement général européen sur la protection des données (RGPD) entré en vigueur par la loi du 25 mai 2018 renforce et unifie la protection des données pour les individus au sein de l’Union européenne.
L’objectif est de renforcer la transparence et la sécurité en matière de données personnelles.
Ainsi, la notion de donnée personnelle est définie comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »[1].
Table of Contents
ToggleLes obligations issues de DSP2
Le nombre de cyberattaques a énormément augmenté entre la mise en vigueur de la directive et aujourd’hui.
Il est donc apparu nécessaire de protéger de manière adéquate les utilisateurs contre ces risques. C’est pourquoi, le considérant n°95 de la Directive énonce que « la sécurité des paiements électroniques est fondamentale pour garantir la protection des utilisateurs (…) Tous services de paiement proposés par voie électronique devraient être sécurisés, grâce à des technologies permettant de garantir une authentification sûre de l’utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude ».
Par conséquent, certaines dispositions ne sont pas immédiatement entrées en vigueur. En effet, un délai d’adaptation a été prévu reportant leur application au 14 septembre 2019. Il s’agit notamment de :
- L’obligation de l’authentification forte. Elle est obligatoire pour les paiements de plus de 30 euros, afin de réduire la fraude dans l’e-commerce. L’authentification forte se définit par au moins deux facteurs entre un mot de passe, un appareil que l’on possède et une donnée biométrique telle que l’empreinte digitale, la voix ou l’iris.
- L’ouverture du marché à de nouveaux acteurs (banque en ligne, application mobile bancaire) en permettant un accès aux informations sur les comptes par un canal de communication sécurisé. Les textes prévoient qu’une authentification forte du client soit demandée a minima tous les 90 jours.
Un alignement entre la DSP2 et le RGPD
La DSP2 oblige les banques à fournir, avec l’accord de leurs clients, l’accès à leurs données à des acteurs tiers tels que les initiateurs de services de paiement (exemple : PayPal) ou des prestataires de services d’informations sur les comptes. Dans le but de pouvoir assurer une « communication standardisée et sécurisée », les banques ont l’obligation d’adapter leur interface bancaire en ligne ou de créer une interface spécifique (une API, une interface de programmation interopérable). Cette interface permet d’éviter les techniques de « web scraping »[4], basées sur l’utilisation par les initiateurs de paiement des identifiants et des mots de passe des clients, en utilisant leurs codes d’accès.
Ainsi, les banques françaises ont travaillé depuis quatre ans à la définition, au développement et à la mise en production d’API (Application Programming Interface).
Par conséquent, le RGPD et DSP2 correspondent à deux réglementations très importantes. Certaines exigences peuvent sembler contradictoire en raison de l’ouverture aux paiements par la DSP2. En effet, l’accroissement de l’accessibilité des données exigera la mise en place de mesures de protection importante. C’est sur ce point que la DSP2 et le RGPD se rejoignent. D’un côté, on facilite l’accès aux données, et de l’autre côté, on s’assure que l’utilisation de ces données est réglementée et qu’elles sont gérées par leur propriétaire légitime.
Le règlement général sur la protection des données – RGPD
Le rôle de l’avocat dans la mise en conformité du RGPD
Du RGPD à la DSP2, les banques n’en finissent plus de relever le défi de la confidentialité
[1] Article 2 loi « Informatique et Liberté » de 1978
[2] Directive 2015/2366
[3] Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
[4] La capture de données d’écran (screen scraping en anglais) est une technique par laquelle un programme récupère des données normalement destinées à être envoyées à un dispositif de sortie (généralement un moniteur) afin d’y extraire des informations.
- HASHTAG Avocats dans le classement des meilleurs cabinets
- Quels sont les éléments clés pour bâtir les piliers de sa startup en toute sécurité ?
- COVID-19 : Prolongation de l’aide exceptionnelle accordée à certaines entreprises accueillant du public
- LES VOEUX DES ENTREPRENEURS POUR LE PROCHAIN QUINQUENNAT