La nouvelle directive sur les paiements en ligne : risque sur la vie privée ?

Juste plus d’une année après que l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) a secoué l’Europe, une nouvelle directive encadrant comment nous interagissons avec la technologie vient de sortir du Parlement européen.

En effet, le 14 septembre 2019, la nouvelle Directive sur les Services de Paiement, couramment référé sous le nom de DSP2, favorise les droits des consommateurs et tente d’offrir à ces derniers une plus grande protection contre la fraude de paiement électronique.

Afin de se conformer avec la DSP2, les prestataires de service de paiement, tel que les banques, vont devoir implémenter des systèmes d’authentification forte du client (AFC) pour tous achats en ligne supérieur ou égal à 30 EUR. Avant de finaliser une transaction sous les systèmes AFC, les consommateurs vont devoir fournir 2 des 3 informations ci-dessous afin de vérifier leur identité :

1.   Quelque chose que tu sais

            Ceci peut être un mot de passe, une question de sécurité, un code NIP, un numéro d’une pièce            d’identité, etc.

2.   Quelque chose que tu as

            Ceci peut être un téléphone portable, un autre appareil connecté, une carte à puce, etc.

3.   Quelque chose que tu es

            Ceci peut être une empreinte digitale, reconnaissance faciale, reconnaissance vocale, scanner rétinien ou toute autre empreinte génétique.

Essentiellement, lorsqu’un tiers veut accéder à votre compte bancaire, par exemple quand un vendeur veut accéder au paiement, l’authentification du consommateur tombe sur les épaules des prestataires de service de paiement étant donné de leur position unique.

Les prestataires de service de paiement ont alors l’obligation d’authentifier les consommateurs et de refuser tout paiement qui ne respecte pas les exigences issues de la DSP2.

Outre que la prévention de la fraude et l’augmentation de la protection des consommateurs, le but principal de cette nouvelle directive est d’établir une forte concurrence tout en créant une équité dans un marché en évolution perpétuelle. 

Portée de la DSP2

Une fois l’arrivée du 14 septembre 2019, toute transaction de 30 EUR ou plus conclue entre un consommateur et un vendeur européen serait assujettie à la DSP2. La nouvelle directive trouve également application lorsqu’une seule des parties se retrouve dans l’Union européenne. Bref, si un consommateur européen fait un achat en ligne auprès d’un vendeur étranger, ou vice-versa, la DSP2 trouvera application et ses règles devront être respectées. 

Du point de vue d’un consommateur, la DSP2 est quelque chose de très positif. Bien que le temps de paiements se rallongera, c’est pour une bonne raison – les prestataires de service de paiement devront immédiatement rembourser les consommateurs victimes de paiement frauduleux.

Et quoi pour votre vie privée et le respect du RGPD  ?

Toutefois, certaines données partagées par les consommateurs lors qu’ils vérifieront leur identité sont considérées comme être des données dit « sensible » ou « de catégorie spéciale » aux fins du RGDP. Par exemple, toutes données concernant la biométrie, telle que des empreintes digitales, la reconnaissance faciale, la reconnaissance vocale, des scans rétiniens, etc., qui sont données pour des fins d’identification sont sujettes à une protection additionnelle.

De ce fait, les données collectées à travers l’AFC par les prestataires de service de paiement nécessitent une attention particulière, puisque toute violation du RGDP quant à ces données « sensibles » peut poser un risque sérieux aux droits et libertés fondamentaux des personnes concernées.

Afin de traiter des données « spéciales » en toute légalité, telle que ceux concernant la biométrie, les prestataires de service de paiement doivent identifier une base légale et respecter des conditions distinctes. Il semble que les prestataires de service de paiement vont pouvoir se tourner vers l’article 9(2)(g) du RGDP afin de déterminer la condition distincte concernant le traitement de ces données – c.-à-d. s’il est nécessaire pour des raisons d’intérêt public importantes, basée sur le droit de l’Union européen. Bref, les prestataires des services de paiement vont devoir s’assurer que tout traitement est proportionnel, respectent l’essence même du droit à la protection des données et permettent des mesures appropriées et spécifiques pour sauvegarder les intérêts et droits fondamentaux des personnes concernées – dans ce cas-ci, les consommateurs. 

Enfin, il sera intéressant de voir comment les systèmes d’AFC implémenter par la DSP2 interagiront avec le RGDP. Étant donné que la majorité des sociétés on eut de la difficulté à ce conformée au Règlement Général sur la Protection des Données (RGDP) l’année dernière, nous espérons que l’adoption de cette dernière directive centrée sur les données se déroulera de manière plus harmonieuse – en général, bien qu’il puisse y avoir un certain risque d’atteinte à la vie privée, les prestataires de services de paiement sont déjà fortement réglementés et mettront certainement en œuvre des garanties suffisantes. Dans l’ensemble, la réduction du risque de fraude en ligne semble être le point clé à retenir  !

Pour plus d’informations sur la DSP2 ou le RGPD, n’hésitez pas à nous contacter.

Auteur: Justin Boileau, Consultant juridique @ Gerrish Legal - mai 2019.