LogoMeilleurAvocats.fr
AvocatsAssistant IABlogPrix
ConnexionDéposer ma demande

Vous avez un problème juridique ?

Décrivez votre situation en 2 minutes — un avocat spécialisé vous répond sous 24h.

Déposer ma demandeJe suis avocat
Logo MeilleurAvocats.frMeilleurAvocats.fr

Mise en relation avocat–client par l'IA. Gratuit pour les particuliers.

Particuliers

  • Déposer une demande
  • Trouver un avocat
  • Assistant IA gratuit
  • Bibliothèque juridique
  • Guides pratiques
  • Jurisprudence

Avocats

  • Pour les avocats
  • Espace avocat
  • Tarifs et formules
  • Recevoir des leads
  • Programme d'affiliation
  • Contact commercial

Spécialités

  • Droit général
  • Droit du travail
  • Droit de la sécurité sociale et de la protection sociale
  • Droit fiscal et droit douanier
  • Droit de la famille, des personnes et de leur patrimoine
  • Droit immobilier

Légal

  • Mentions légales
  • Confidentialité
  • CGU
  • Cookies
  • Contact

Newsletter juridique hebdomadaire

Décisions clés, évolutions législatives, conseils pratiques — chaque semaine.

© 2026 MeilleurAvocats.fr— KONSEIL SAS. Tous droits réservés.

Mentions légales|Confidentialité|Cookies

BOB★La messagerie française & cryptée pour des échanges confidentiels entre avocats et clients.

En savoir +TéléchargerBOB
AccueilDroit européen52023XX01019
Communication52023XX01019

Communication — 52023XX01019

CELEX52023XX01019
TypeCommunication
Datejeudi 16 novembre 2023

Texte intégral

European flag

Journal officiel
de l'Union européenne

FR

Séries C

C/2023/1019

16.11.2023

Résumé de l’avis du contrôleur européen de la protection des données la proposition de règlement concernant les services de paiement dans le marché intérieur et la proposition de directive concernant les services de paiement et les services de monnaie électronique dans le marché intérieur

(C/2023/1019)

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site Internet du CEPD https://edps.europa.eu)

Le 28 juin 2023, la Commission européenne a publié une proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) no 1093/2010 (ci-après la «proposition de RSP») et une proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique dans le marché intérieur, modifiant la directive 98/26/CE et abrogeant les directives 2015/2366/UE et 2009/110/CE (ci-après la «proposition de DSP3»), ci-après dénommées ensemble «les propositions».

Les services de paiement impliquent souvent le traitement de données à caractère personnel qui peuvent révéler des informations sensibles sur une personne concernée. Le CEPD se félicite dès lors des efforts déployés pour assurer la cohérence avec le règlement général sur la protection des données (1) (ci-après le «RGPD»). Il souligne également la nécessité de distinguer clairement les «permissions» prévues par la proposition de la base juridique du traitement des données à caractère personnel au titre du RGPD.

L’un des objectifs de la proposition est de permettre aux fournisseurs de systèmes de paiement et de services de paiement de traiter des catégories particulières de données à caractère personnel dans l’intérêt général du bon fonctionnement du marché intérieur des services de paiement. Étant donné que le traitement de telles données est susceptible de constituer une ingérence grave dans les droits au respect de la vie privée et à la protection des données à caractère personnel, il importe que la législation démontre avec suffisamment de précision le lien objectif entre chaque catégorie de données dans un contexte de paiement spécifique et l’objectif d’intérêt général à atteindre.

Le CEPD se félicite que la proposition exige des prestataires de services de paiement gestionnaires du compte (ci-après les «PSPGC») qu’ils fournissent à l’utilisateur un tableau de bord lui permettant de suivre et de gérer la permission qu’il a accordée. Afin de réduire davantage le risque de partage illicite de données à caractère personnel par les PSPGC, le CEPD recommande de:

—

veiller à ce que le tableau de bord fasse référence au(x) service(s) de paiement spécifique(s) préalablement indiqué(s) pour le(s)quel(s) l’utilisateur a accordé sa permission ;

—

veiller à ce que les demandes d’accès restent limitées à ce qui est nécessaire pour fournir le service demandé;

—

garantir la clarté de la base juridique des demandes d’accès;

—

permettre aux PSPGC de vérifier la permission accordée par l’utilisateur du service de paiement ou d’introduire d’autres garanties appropriées dans la proposition de RSP.

Enfin, le CEPD recommande d’assurer une coopération étroite entre les autorités compétentes en vertu de la proposition et les autorités de contrôle de la protection des données afin de garantir la cohérence entre l’application et la mise en œuvre de la proposition et la législation de l’UE en matière de protection des données. Le CEPD préconise donc de faire expressément référence aux autorités de contrôle chargées du suivi et de l’application de la législation sur la protection des données à l’article 93, paragraphe 3, de la proposition de RSP.

1. Introduction

1.

Le 28 juin 2023, la Commission européenne a publié une proposition de règlement du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) no 1093/2010 (ci-après la «proposition de règlement relatif aux services de paiement» ou la «proposition de RSP») (2) et une proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique dans le marché intérieur, modifiant la directive 98/26/CE et abrogeant les directives (UE) 2015/2366 et 2009/110/CE (ci-après la «proposition de troisième directive relative aux services de paiement» ou la «proposition de DSP3») (3), ci-après dénommées ensemble les «propositions».

2.

La proposition de RSP et la proposition de DSP3 sont accompagnées chacune de trois annexes (six annexes au total), décrivant les types de services de paiement (annexe I) ainsi que le type de services de monnaie électronique (annexe II) relevant du champ d’application des projets de propositions. Enfin, l’annexe III présente un tableau de correspondance entre les dispositions des directives 2015/2366/UE et 2009/110/CE et les dispositions des propositions.

3.

Le CEPD note que les types de services couverts par les propositions semblent être essentiellement les mêmes que ceux couverts par la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (la «DSP2») (4).

4.

Les objectifs spécifiques de la proposition de RSP (5) sont les suivants:

a.

renforcer la protection des utilisateurs et leur confiance dans les paiements, notamment en améliorant l’application de l’authentification forte du client (SCA), en créant une base juridique pour l’échange d’informations sur la fraude, en étendant la vérification du numéro de compte bancaire international (IBAN) à tous les virements et en améliorant les droits et l’information des utilisateurs;

b.

améliorer la compétitivité des services bancaires ouverts en: i) exigeant des prestataires de services de paiement gestionnaires de comptes (les «PSPGC») qu’ils mettent en place une interface d’accès aux données dédiée et des «tableaux de bord des permissions» afin de permettre aux utilisateurs de gérer les permissions d’accès de banque ouverte qu’ils ont accordées; et ii) définissant des spécifications plus détaillées quant aux exigences minimales pour les interfaces de données bancaires ouvertes;

c.

améliorer l’application et la mise en œuvre du cadre juridique applicable aux services de paiement dans les États membres, notamment en remplaçant la DSP2 par un règlement directement applicable (la «proposition de RSP») qui précise certains aspects peu clairs de la DSP2, et en renforçant la coopération entre les autorités compétentes et les autres autorités; et

d.

améliorer l’accès (direct ou indirect) aux systèmes de paiement et aux comptes bancaires pour les prestataires de services de paiement non bancaires, y compris les prestataires de services d’initiation de paiement (PSIP) et les prestataires de services d’initiation de compte (PSIC).

5.

Les propositions sont présentées conjointement avec la proposition de règlement relatif à l’accès aux données financières (6), qui couvre, entre autres, l’accès aux données financières autres que les données relatives aux comptes de paiement, lequel relève du champ d’application des propositions qui font l’objet du présent avis (7).

6.

En substance, la proposition de RSP:

a.

établirait des exigences en matière de transparence des conditions et des exigences en matière d’information pour les services de paiement (8);

b.

établirait des droits et des obligations en ce qui concerne la fourniture et l’utilisation de services de paiement, y compris des règles sur les interfaces d’accès aux données pour les services d’information sur les comptes et les services d’initiation de paiement (9) et sur la gestion de l’accès aux données par les utilisateurs de services de paiement (10); sur la protection des données (11); sur les mécanismes de signalement des fraudes et de suivi des transactions et le partage de données relatives à la fraude (12); sur la SCA (13); sur les procédures d’exécution, les autorités compétentes et les sanctions (14), et sur les pouvoirs d’intervention de l’Autorité bancaire européenne (ABE) (15).

7.

La proposition de DSP3 repose en grande partie sur le titre II de la DSP2 actuelle, en ce qui concerne les «prestataires de services de paiement», qui ne s’applique qu’aux établissements de paiement. Elle actualise et clarifie les dispositions relatives aux établissements de paiement et intègre les établissements de monnaie électronique en tant que sous-catégorie d’établissements de paiement. Elle comprend également des dispositions concernant les services de retrait d’espèces fournis par des détaillants ou des fournisseurs de DAB indépendants (16).

8.

Le présent avis du CEPD est émis en réponse à une demande de consultation présentée par la Commission européenne le 29 juin 2023, conformément à l’article 42, paragraphe 1, du RPDUE. Le CEPD se félicite de la référence faite à cette consultation au considérant 147 de la proposition de RSP et au considérant 77 de la proposition de DSP3. À cet égard, le CEPD note également avec satisfaction qu’il a déjà été préalablement consulté de manière informelle en ce qui concerne les propositions, conformément au considérant 60 du RPDUE.

12. Conclusions

52.

 Eu égard aux considérations qui précèdent, le CEPD formule les recommandations suivantes:

(1)

établir une distinction claire entre le terme «permission» et la base juridique du traitement au titre du RGPD, en précisant, au considérant 62 de la proposition de RSP, que «la permission ne devrait pas être interprétée comme un “consentement”, un “consentement explicite” ou une “nécessité d’exécuter d’un contrat” au sens du règlement (UE) 2016/679»;

(2)

préciser, au moyen d’un considérant, que l’octroi d’une permission par l’utilisateur de services de paiement est sans préjudice, en particulier, des obligations incombant aux prestataires de services d’initiation de paiement et aux prestataires de services d’information sur les comptes en vertu de l’article 6 et de l’article 9 du règlement (UE) 2016/679;

(3)

réexaminer l’interdiction applicable aux PSPGC de vérifier la permission prévue à l’article 49, paragraphe 4, de la proposition de RSP ou introduire d’autres garanties appropriées dans le dispositif de la proposition de RSP visant à protéger les utilisateurs de services de paiement contre le risque de potentiel partage illicite de données à caractère personnel par les PSPGC que cette interdiction pourrait entraîner;

(4)

modifier l’article 46, paragraphe 2, point a), et l’article 47, paragraphe 2, point a), de la proposition de RSP afin d’indiquer que les prestataires de services d’initiation de paiement et les prestataires de services d’information sur les comptes n’ont pas accès aux données de sécurité personnalisées;

(5)

clarifier la définition de «données de paiement sensibles» au sens de l’article 3, paragraphe 38, de la proposition de RSP, en précisant notamment les types de données à caractère personnel couverts par cette définition;

(6)

préciser pour quel(s) type(s) spécifique(s) de service(s) de paiement désigné(s) les systèmes de paiement et le prestataire de services de paiement seraient habilités à traiter quelles catégories de catégories particulières de données à caractère personnel visées à l’article 80 de la proposition de RSP;

(7)

justifier (dans un considérant) les raisons pour lesquelles le traitement des catégories particulières de données à caractère personnel pour le(s) service(s) de paiement désigné(s) à l’article 80 de la proposition de RSP est nécessaire et proportionné et ne peut être évité par le recours à d’autres moyens techniques;

(8)

inclure une référence à l’enregistrement lors de l’ouverture de session (pour vérifier si un accès non autorisé a eu lieu) parmi les garanties de protection des données visées à l’article 80 de la proposition de RSP;

(9)

ajouter à l’article 43, paragraphe 2, point a), une référence au(x) service(s) de paiement désigné(s) pour le(s)quel(s) la permission est accordée par l’utilisateur de services de paiement;

(10)

ajouter à l’article 47, paragraphe 2, concernant les obligations des prestataires de services d’information sur les comptes, l’exigence prévue à l’article 46, paragraphe 2, point b), selon laquelle les prestataires de services de paiement ne peuvent demander à l’utilisateur de services de paiement que les données nécessaires pour fournir le service demandé;

(11)

exiger des prestataires de services de paiement et des prestataires de services d’information sur les comptes, en vertu de l’article 43, paragraphe 4, point b), qu’ils informent les prestataires de services de paiement gestionnaires de comptes du compte client auquel l’accès est demandé et de la base juridique prévue à l’article 6, paragraphe 1, du RGPD et (le cas échéant) de l’exception prévue à l’article 9, paragraphe 2, du RGPD sur laquelle ils s’appuieraient pour accéder aux données à caractère personnel de l’utilisateur de services de paiement;

(12)

préciser à l’article 43, point b), que le tableau de bord ne doit pas être conçu de manière à encourager ou à inciter indûment les utilisateurs de services de paiement à accorder ou à retirer des permissions;

(13)

déterminer clairement les catégories de données à caractère personnel que les prestataires de services de paiement seraient autorisés à traiter dans le cadre des mécanismes de suivi des transactions [notamment en fournissant une définition des «informations sur l’utilisateur de services de paiement» visées à l’article 83, paragraphe 2, point a)];

(14)

définir des durées de conservation appropriées pour les données à caractère personnel collectées en vertu de l’article 83;

(15)

inclure une définition de «l’accord d’échange d’informations» à l’article 3 de la proposition de RSP;

(16)

prévoir dans la proposition de RSP que tout traitement de données à caractère personnel aux fins du respect des obligations légales en matière de prévention de la fraude au titre de l’article 83 ne peut avoir lieu qu’à cette fin spécifique et ne peut conduire à la cessation de la relation du client avec le prestataire de services de paiement ni porter atteinte à l’intégration de l’utilisateur de services de paiement par un autre prestataire de services de paiement;

(17)

mentionner explicitement les autorités de contrôle chargées du suivi et de l’application de la législation sur la protection des données à l’article 93, paragraphe 3, de la proposition de RSP.

Bruxelles, le 22 août 2023.

Wojciech Rafał WIEWIÓROWSKI

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(2) COM(2023) 367 final.

(3) COM(2023) 366 final.

(4) Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35).

(5) COM(2023) 367 final, pages 5-6.

(6) COM(2023) 360 final.

(7) COM(2023) final, page 4.

(8) Articles 4 à 26 de la proposition de RSP.

(9) Articles 35 à 38 de la proposition de RSP.

(10) Article 43 de la proposition de RSP.

(11) Article 80 de la proposition de RSP.

(12) Articles 82 à 84 de la proposition de RSP.

(13) Articles 85 à 86 de la proposition de RSP.

(14) Chapitre 8 de la proposition de RSP.

(15) Chapitre 9 de la proposition de RSP.

(16) COM(2023) 367 final, page 7.

ELI: http://data.europa.eu/eli/C/2023/1019/oj

ISSN 1977-0936 (electronic edition)

Documents similaires

Communication52023XC01561

Communication — 52023XC01561

29/12/2023

Communication52023XC01562

Communication — 52023XC01562

29/12/2023

Communication52023XC01657

Communication — 52023XC01657

28/12/2023

Communication52023XC0511(02)R(02)

Communication — 52023XC0511(02)R(02)

22/12/2023

← Retour au droit européenVoir aussi sur EUR-Lex →