La nouvelle directive sur les paiements en ligne : risque sur la vie privée ?
Tout juste un an après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), une nouvelle directive encadrant les paiements fait son entrée au Parlement européen.
En effet, le 14 septembre 2019, la nouvelle Directive sur les Services de Paiement, couramment référé sous le nom de DSP2, et ayant vocation à favoriser les droits des consommateurs et à offrir à ces derniers une plus grande protection contre la fraude de paiement électronique, entrera en vigueur.
Afin de se conformer avec la DSP2, les prestataires de service de paiement, tel que les banques, devront implémenter des systèmes d’authentification forte du client (AFC) pour tous achats en ligne supérieur ou égaux à 30 EUR. Avant de finaliser une transaction sous les systèmes AFC, les consommateurs devront répondre à 2 des 3 questions ci-dessous, afin de vérifier leur identité :
1. Questions relative à la “connaissance”
Ceci pourra être un mot de passe, une question de sécurité, un code NIP, un numéro d’une pièce d’identité, etc.
2. Questions relative à la “possession”
Ceci pourra être un numéro de téléphone portable, un autre appareil connecté, une carte à puce, etc.
3. Questions relative à l’inhérence
Concrètement, ceci pourra passer par un relevé d’empreinte digitale, la reconnaissance faciale, la reconnaissance vocale, le scanner rétinien ou le relevé de toute autre empreinte génétique.
Essentiellement, lorsqu’un tiers voudra accéder à votre compte bancaire, par exemple lorsqu’un vendeur voudra accéder au paiement, l’authentification du consommateur incombera aux prestataires de service de paiement étant donné de leur position unique.
Les prestataires de service de paiement auront alors l’obligation d’authentifier les consommateurs et de refuser tout paiement qui ne respecte pas les exigences issues de la DSP2.
Outre que la prévention de la fraude et l’augmentation de la protection des consommateurs, le but principal de cette nouvelle directive est d’établir une forte concurrence tout en créant une équité dans un marché en évolution perpétuelle.
Portée de la DSP2
À partir du 14 septembre 2019, toute transaction de 30 EUR ou plus conclue entre un consommateur et un vendeur européen sera assujettie à la DSP2. La nouvelle directive trouvera également application lorsqu’une seule des parties se retrouve dans l’Union européenne. Bref, si un consommateur européen fait un achat en ligne auprès d’un vendeur étranger, ou vice-versa, la DSP2 trouvera application et ses règles devront être respectées.
Du point de vue d’un consommateur, la DSP2 est quelque chose de très positif. Bien que le temps de paiements se rallongera, c’est pour une bonne raison – les prestataires de service de paiement devront immédiatement rembourser les consommateurs victimes de paiement frauduleux.
Qu’en est-il de votre vie privée et le respect du RGPD ?
Toutefois, certaines données partagées par les consommateurs lors qu’ils vérifieront leur identité sont considérées comme être des données dit « sensible » ou « de catégorie spéciale » aux fins du RGDP. Par exemple, toutes données concernant la biométrie, telle que des empreintes digitales, la reconnaissance faciale, la reconnaissance vocale, des scans rétiniens, etc., qui seront données à des fins d’identification seront sujettes à une protection additionnelle.
De ce fait, les données collectées à travers l’AFC par les prestataires de service de paiement nécessiteront une attention particulière, puisque toute violation du RGDP quant à ces données « sensibles » peut poser un risque sérieux aux droits et libertés fondamentaux des personnes concernées.
Afin de traiter des données « spéciales » en toute légalité, telle que ceux concernant la biométrie, les prestataires de service de paiement devront identifier une base légale et respecter des conditions distinctes. Il semble que les prestataires de service de paiement auront la possibilité de se tourner vers l’article 9(2)(g) du RGDP afin de déterminer la condition distincte concernant le traitement de ces données – c.-à-d. s’il est nécessaire pour des raisons d’intérêt public importantes, basée sur le droit de l’Union européen. Bref, les prestataires des services de paiement vont devoir s’assurer que tout traitement est proportionnel, respecte l’essence même du droit à la protection des données et permet des mesures appropriées et spécifiques pour sauvegarder les intérêts et droits fondamentaux des personnes concernées – dans ce cas-ci, les consommateurs.
Enfin, il sera intéressant de voir comment les systèmes d’AFC implémentés par la DSP2 interagiront avec le RGDP. Étant donné que la majorité des sociétés on rencontré des difficultés au moment de se conformer au Règlement Général sur la Protection des Données (RGDP) l’année dernière, nous espérons que l’adoption de cette dernière directive centrée sur les données se déroulera de manière plus harmonieuse – en général, bien qu’il puisse y avoir un certain risque d’atteinte à la vie privée, les prestataires de services de paiement sont déjà fortement réglementés et mettront certainement en œuvre des garanties suffisantes. Dans l’ensemble, la réduction du risque de fraude en ligne semble être le point clé à retenir !
Pour plus d’informations sur la DSP2 ou le RGPD, n’hésitez pas à nous contacter.
Article rédigé par Justin Boileau @ Gerrish Legal, mai 2019