Communication — 52023XX01054 — MeilleurAvocats.fr

Journal officiel
de l'Union européenne

Séries C

C/2023/1054

20.11.2023

Résumé de l’avis du contrôleur européen de la protection des données sur la proposition de règlement relatif à un cadre pour l’accès aux données financières

(C/2023/1054)

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site Internet du CEPD https://edps.europa.eu)

Le 28 juin 2023, la Commission européenne a publié une proposition de règlement du Parlement européen et du Conseil relatif à un cadre pour l’accès aux données financières et modifiant les règlements (UE) no 1093/2010, (UE) no 1094/2010, (UE) no 1095/2010 et (UE) 2022/2554 (ci-après la «proposition»). L’objectif de la proposition est de promouvoir le développement de services et de produits financiers fondés sur les données en permettant aux consommateurs et aux entreprises de mieux contrôler l’accès à leurs données financières.

Le CEPD se réjouit que la proposition entende donner aux clients, y compris aux personnes concernées, le pouvoir de décider de la manière dont leurs données sont utilisées, et par qui. Il note toutefois que la définition des «données clients» est particulièrement large et inclut potentiellement des données à caractère personnel de nature très sensible. Les catégories de données à caractère personnel qui seront mises à disposition dans le cadre de la proposition doivent être clairement délimitées, en tenant compte des risques encourus par les personnes dont les données à caractère personnel seraient consultées et utilisées. Le CEPD recommande également d’exclure explicitement de la définition des «données clients» les données créées à la suite d’un profilage.

Le CEPD se félicite du fait que la proposition imposerait aux détenteurs et aux utilisateurs de données plusieurs obligations qui pourraient avoir un effet positif sur le niveau de protection des données à caractère personnel. Pour favoriser cet objectif, les utilisateurs de données devraient avoir l’obligation d’indiquer clairement, pour chaque demande, les types de données clients spécifiques auxquels ils souhaitent avoir accès. La proposition devrait également interdire le refus des services financiers aux clients qui n’installent pas et n’utilisent pas le tableau de bord des permissions ou ne permettent pas d’une autre manière le partage de données par les détenteurs de données avec les utilisateurs de données au titre de la proposition.

Le CEPD estime qu’un périmètre d’utilisation des données clairement défini et strictement appliqué est nécessaire pour délimiter les utilisations appropriées des données à caractère personnel et pour protéger les consommateurs vulnérables. À cet égard, le CEPD se félicite du fait que la proposition prévoie l’élaboration d’orientations par l’Autorité bancaire européenne et l’Autorité européenne des assurances et des pensions professionnelles, en coopération avec le comité européen de la protection des données (EDPB). Afin de veiller à ce que les orientations soient pleinement conformes à la législation en matière de protection des données, le CEPD considère qu’une consultation formelle de l’EDPB est nécessaire. Le CEPD recommande également d’étendre le champ d’application des futures orientations à d’autres produits et services financiers pertinents, tels que les contrats de crédit hypothécaire, les services de paiement, d’autres produits d’assurance, les produits d’investissement et les produits d’épargne-retraite. Les orientations devraient également préciser, le cas échéant, les limites de la combinaison de «données clients» avec d’autres types de données à caractère personnel, telles que les données à caractère personnel obtenues auprès de sources tierces (par exemple, les réseaux de médias sociaux ou les courtiers de données).

Le CEPD recommande d’assurer une coopération étroite entre les autorités compétentes en vertu de la proposition et les autorités de contrôle de la protection des données, afin de garantir la cohérence entre l’application et l’exécution de la proposition, d’une part, et la législation de l’UE en matière de protection des données, d’autre part. Une telle coopération étroite pourrait être favorisée en clarifiant les circonstances dans lesquelles les autorités compétentes peuvent consulter les autorités chargées de la protection des données et échanger des informations avec elles.

1. Introduction

L’objectif de la proposition est de promouvoir le développement de services et de produits financiers fondés sur les données en permettant aux consommateurs et aux entreprises de mieux contrôler l’accès à leurs données financières (2). Ce faisant, la proposition permettrait aux consommateurs et aux entreprises de bénéficier de produits et services financiers autres que les paiements qui sont adaptés à leurs besoins sur la base de données pertinentes. En parallèle, la proposition vise à traiter les risques inhérents à l’augmentation du partage des données financières et à l’accès à celles-ci (3).

La proposition est un élément sectoriel constitutif de la stratégie européenne pour les données, qui permet le partage de données dans le secteur financier ainsi qu’avec d’autres secteurs (4). Elle est directement liée à l’une des priorités de la stratégie de la Commission en matière de finance numérique pour l’UE, à savoir la création d’un espace européen des données financières pour promouvoir l’innovation fondée sur les données, en s’appuyant sur la stratégie européenne en matière de données (5), y compris un meilleur accès aux données et un meilleur partage des données au sein du secteur financier (6).

En substance, la proposition:

établirait les règles selon lesquelles des catégories spécifiques de «données clients» dans le domaine financier (7) (y compris des données à caractère personnel) peuvent être consultées, partagées et utilisées par les établissements financiers et les prestataires de services d’information financière (les «entités éligibles» (8)), agissant soit en tant que détenteurs (9), soit en tant qu’utilisateurs (10) de données;

b.	donnerait au client, qui peut être une personne physique ou morale (11), le droit de demander au détenteur de données de partager ces données avec un utilisateur de données aux fins et dans les conditions convenues entre l’utilisateur de données et le client (12);

c.	imposerait certaines obligations aux utilisateurs de données qui reçoivent des données à la demande des clients et fixerait certaines limites quant à la manière dont les données des clients peuvent être utilisées (13);

mandaterait l’Autorité bancaire européenne (ci-après l’«ABE») et l’Autorité européenne des assurances et des pensions professionnelles (ci-après l’«AEAPP»), en coopération avec le comité européen de la protection des données (ci-après l’«EDPB»), pour élaborer des orientations ciblées portant sur les domaines dans lesquels le partage des données et l’accès envisagé dans la proposition pourraient entraîner des risques d’exclusion plus élevés pour les clients (14), établissant ainsi un «périmètre d’utilisation des données» (15);

e.	permettrait aux clients de surveiller et de gérer les permissions d’accès aux données qu’ils ont accordées aux utilisateurs de données au moyen de tableaux de bord des permissions d’accès aux données financières. (qui doivent être obligatoirement mis en place par les détenteurs de données) (16); et

introduirait des exigences pour la création et la gouvernance des systèmes de partage de données financières — dont les détenteurs de données, les utilisateurs de données et les organisations de consommateurs seraient parties — afin d’élaborer (entre autres) des normes en matière de données et d’interfaces et un cadre contractuel et normalisé commun régissant l’accès à des ensembles de données spécifiques (17).

Le présent avis du CEPD est émis en réponse à une demande de consultation présentée par la Commission européenne le 29 juin 2023, conformément à l’article 42, paragraphe 1, du RPDUE (18). Le CEPD se félicite de la référence faite à cette consultation au considérant 54 de la proposition. À cet égard, le CEPD note également avec satisfaction qu’il a déjà été préalablement consulté de manière informelle, conformément au considérant 60 du RPDUE.

8. Conclusions

54.

À la lumière des considérations qui précèdent, le CEPD émet les recommandations suivantes:

(1)	préciser dans le considérant 48 que le traitement des données à caractère personnel dans le cadre de la proposition de règlement doit être effectué conformément au RGPD (19), au RPDUE et à la directive vie privée et communications électroniques (20);

(2)

délimiter clairement les catégories de données à caractère personnel visées à l’article 2, paragraphe 1, de la proposition, en tenant compte de la nature des services et produits financiers proposés par les entités éligibles énumérées à l’article 2, paragraphe 2, de la proposition et des risques encourus par les personnes dont les données à caractère personnel seraient consultées et utilisées par les utilisateurs de données;

(3)	exclure explicitement les données créées à la suite d’un profilage de la définition des «données clients» figurant à l’article 3, paragraphe 3, de la proposition;

(4)

éviter toute ambiguïté entre le terme «permission» au sens de la proposition et la base juridique du traitement en vertu du RGPD, en précisant en outre dans le considérant 48 que la permission ne doit pas être interprétée comme un «consentement», un «consentement explicite» ou une «nécessité d’exécuter un contrat» tels que définis dans le RGPD;

(5)

insérer dans le dispositif de la proposition une disposition qui interdirait le refus des services financiers énumérés à l’article 2, paragraphe 2, de la proposition aux clients qui n’installent pas et n’utilisent pas le tableau de bord des permissions en vertu de l’article 8 de la proposition ou ne permettent pas d’une autre manière le partage de données par les détenteurs de données avec les utilisateurs de données en vertu de la proposition;

(6)	inclure à l’article 6 de la proposition l’obligation pour les utilisateurs de données d’indiquer clairement dans leurs demandes d’accès aux clients les types particuliers de données clients auxquels ils souhaitent avoir accès;

(7)

modifier le libellé de l’article 6, paragraphe 2, de la proposition comme suit: «Un utilisateur de données ne peut demander des données clients et y accéder en vertu de l’article 5, paragraphe 1 que lorsqu’elles sont adéquates, pertinentes et nécessaires aux fins et aux conditions pour lesquelles le client lui a donné sa permission»;

(8)

préciser qu’un utilisateur de données ne peut contacter des clients à des fins de prospection que sous réserve de leur consentement préalable ou en leur proposant des offres de produits ou de services similaires à ceux pour lesquels il a accédé à des données clients et dans les conditions prévues à l’article 13, paragraphe 2, de la directive vie privée et communications électroniques;

(9)

inclure, à l’article 7 de la proposition, une référence explicite à la nécessité de se conformer aux règles et lignes directrices sectorielles existantes de l’UE concernant l’accès aux données à caractère personnel et leur utilisation aux fins de la fourniture des services et produits financiers entrant dans le champ d’application de la proposition;

(10)

prévoir une consultation formelle de l’EDPB, tant par l’ABE que par l’AEAPP, lors de l’élaboration des orientations proposées relatives au périmètre d’utilisation des données, en ajoutant à l’article 7, paragraphe 4, après «coopèrent étroitement», le libellé «et sous réserve d’une consultation formelle de»;

(11)	prévoir l’adoption d’orientations au titre de l’article 7, sous réserve de la consultation formelle de l’EDPB, le plus tôt possible compte tenu de la date d’applicabilité de la proposition;

(12)	étendre le champ d’application des orientations visées à l’article 7 à d’autres produits et services financiers importants entrant dans le champ d’application de la proposition;

(13)	préciser que les orientations visées à l’article 7 devraient également porter, le cas échéant, sur les limites de la combinaison de «données clients» obtenues en vertu de la proposition avec d’autres types de données à caractère personnel;

(14)	exiger des utilisateurs de données au titre de l’article 8, paragraphe 4, point b), qu’ils informent également les détenteurs de données du compte client, du produit financier ou du service financier auquel l’accès est demandé;

(15)

exiger des utilisateurs de données en vertu de l’article 8, paragraphe 4, point b), qu’ils informent les détenteurs de données de la base juridique en vertu de l’article 6, paragraphe 1, du RGPD et (le cas échéant) de l’exception en vertu de l’article 9, paragraphe 2, du RGPD sur laquelle ils s’appuieraient pour accéder aux données à caractère personnel contenues dans l’ensemble de données clients;

(16)	préciser à l’article 8 de la proposition que le tableau de bord des permissions ne devrait pas être conçu de manière à encourager les clients à accorder ou retirer des permissions, ni de manière à les influencer indûment dans un sens ou dans l’autre;

(17)	exiger des utilisateurs de données qu’ils démontrent de manière appropriée aux détenteurs de données qu’ils ont obtenu la permission du client d’accéder aux données clients détenues par le détenteur de données;

(18)	si les utilisateurs de données peuvent demander l’accès aux données clients pour le compte d’un client, exiger des détenteurs de données qu’ils demandent la preuve des pouvoirs de représentation obtenus auprès du client (et des utilisateurs de données qu’ils fournissent cette preuve);

(19)

modifier l’article 14, paragraphe 7, de la proposition afin de préciser que les autorités compétentes peuvent retirer l’agrément qu’elles ont accordé à un prestataire de services d’information financière dans les cas où les autorités de contrôle au titre du RGPD établissent que le prestataire de services d’information financière a enfreint ses obligations au titre de la législation de l’UE en matière de protection des données;

(20)	prévoir une définition des «services d’information financière» à l’article 3 de la proposition;

(21)	exiger des systèmes de partage de données financières qu’ils définissent les mesures techniques et organisationnelles minimales que leurs membres devraient mettre en œuvre pour garantir un niveau de sécurité approprié pour les données à caractère personnel échangées;

(22)	dans le considérant 25 de la proposition, remplacer le mot «semblables» après «élaborer des codes de conduite» par «conformes à l’article 40 du RGPD»;

(23)	préciser que les autorités de contrôle au titre du RGPD font partie des «autres autorités publiques concernées» ou des «autres autorités compétentes» que les autorités compétentes doivent consulter conformément à l’article 14, paragraphe 1, et à l’article 10, paragraphe 6, de la proposition; et

(24)	faire explicitement référence aux autorités de contrôle au titre du RGPD à l’article 18, paragraphe 3, de la proposition.

Bruxelles, le 22 août 2023.

Wojciech Rafał WIEWIÓROWSKI

(1) COM(2023) 360 final.

(2) COM(2023) 360 final, p. 1.

(3) COM(2023) 360 final, p. 1-2.

(4) COM(2023) 360 final, p. 3.

(5) Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — «Une stratégie européenne pour les données», (COM(2020) 66 final du 19.2.2020).

(6) Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — «Une stratégie en matière de finance numérique pour l’UE» (COM(2020) 591 final du 24.9.2020, p. 4-5).

(7) Énumérées à l’article 2, paragraphe 1, de la proposition.

(8) Énumérées à l’article 2, paragraphe 2, de la proposition.

(9) Article 3, paragraphe 5, de la proposition: « “détenteur de données”, un établissement financier, autre qu’un prestataire de services d’information sur les comptes, qui collecte, conserve et traite d’une autre manière les données visées à l’article 2, paragraphe 1».

(10) Article 3, paragraphe 6, de la proposition: « “utilisateur de données”, une entité visée à l’article 2, paragraphe 2, qui, après avoir reçu la permission d’un client, dispose d’un accès licite aux données client de ce dernier, telles que visées à l’article 2, paragraphe 1».

(11) Article 3, paragraphe 2, de la proposition.

(12) Article 5 de la proposition.

(13) Article 6 de la proposition.

(14) Notamment les produits et services liés à l’évaluation du risque de crédit associé à des consommateurs, ainsi qu’à l’évaluation du risque associé à un consommateur et à la fixation d’un prix pour celui-ci dans le cadre de produits d’assurance vie, santé et maladie. Voir également le considérant 18 de la proposition.

(15) Article 7 de la proposition.

(16) Article 8 de la proposition.

(17) Titres IV et V de la proposition.

(18) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données. données et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(19) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(20) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p.37).

ELI: http://data.europa.eu/eli/C/2023/1054/oj

ISSN 1977-0936 (electronic edition)