Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52014XX0208(05)

Avis du Contrôleur européen de la protection des données sur une proposition de directive du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2006/48/CE et 2009/110/CE et abrogeant la directive 2007/64/CE, ainsi qu’une proposition de règlement du Parlement européen et du Conseil relatif aux commissions d’interchange pour les opérations de paiement liées à une carte

OJ C 38, 8.2.2014, p. 14–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
OJ C 38, 8.2.2014, p. 10–11 (HR)

In force

8.2.2014   

FR

Journal officiel de l'Union européenne

C 38/14


Avis du Contrôleur européen de la protection des données sur une proposition de directive du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2006/48/CE et 2009/110/CE et abrogeant la directive 2007/64/CE, ainsi qu’une proposition de règlement du Parlement européen et du Conseil relatif aux commissions d’interchange pour les opérations de paiement liées à une carte

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site internet du CEPD http://www.edps.europa.eu)

(2014/C 38/07)

1.   Introduction

1.1.   Consultation du CEPD

1.

Le 27 juillet 2013, la Commission a adopté un projet de proposition de directive du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2006/48/CE et 2009/110/CE et abrogeant la directive 2007/64/CE (la «proposition de directive»), ainsi qu’une proposition de règlement du Parlement européen et du Conseil relatif aux commissions d’interchange pour les opérations de paiement liées à une carte (1). Ces propositions ont été envoyées au CEPD pour consultation le 28 juillet 2013.

2.

Le CEPD se félicite du fait qu’il soit consulté par la Commission et se réjouit qu’une référence au présent avis ait été incluse dans le préambule des actes.

3.

Le CEPD a eu la possibilité de faire part d’observations informelles à la Commission avant l’adoption de la proposition de règlement. Certaines de ces observations ont été prises en compte. Par conséquent, les garde-fous en matière de protection des données prévus par la proposition de règlement ont été renforcés.

4.

Étant donné que la proposition de règlement ne soulève aucun problème du point de vue de la protection des données, le CEPD concentrera ses observations sur la proposition de directive.

1.2.   Objectifs et portée de la proposition de directive

5.

La proposition de directive a pour objet de favoriser un développement plus poussé d’un marché des paiements électroniques à l’échelle de l’UE qui permette aux consommateurs, aux détaillants et aux autres acteurs du marché de profiter pleinement des avantages offerts par le marché intérieur de l’UE, conformément à ce que prévoient la stratégie Europe 2020 et la stratégie numérique pour l’Europe. Pour atteindre cet objectif et pour promouvoir davantage de concurrence, d’efficience et d’innovation dans le secteur des paiements électroniques, la Commission affirme que la sécurité juridique et l’égalité des conditions de concurrence sont un préalable indispensable et qu’il en résultera une convergence à la baisse des coûts et des prix pour les utilisateurs de services de paiement, ainsi qu’un plus large choix et une plus grande transparence de ces services, ce qui facilitera l’offre de services de paiement innovants et permettra de garantir des services de paiement sûrs et transparents.

6.

La Commission fait valoir que ces objectifs seront atteints en actualisant et en complétant le cadre régissant actuellement les services de paiement, en prévoyant des règles pour renforcer la transparence, l’innovation et la sécurité dans le domaine des paiements de détail et pour améliorer la cohérence des réglementations nationales, eu égard, tout particulièrement, aux besoins légitimes des consommateurs.

3.   Conclusions

Le CEPD se réjouit de l’introduction dans l’article 84 d’une disposition de fond prévoyant que tout traitement de données à caractère personnel aux fins de la proposition de directive doit être effectué conformément aux règles nationales transposant la directive 95/46/CE et la directive 2002/58/CE, ainsi qu’au règlement (CE) no 45/2001.

Le CEPD recommande ce qui suit:

les références à la législation applicable en matière de protection des données devraient être spécifiées dans des garde-fous concrets qui s’appliqueront à toute situation dans laquelle le traitement de données à caractère personnel est envisagé;

le projet de directive devrait préciser que la fourniture de services de paiement peut impliquer le traitement de données à caractère personnel;

la proposition de directive devrait clarifier expressément que le traitement de données à caractère personnel peut être effectué dès lors qu’il est nécessaire à la prestation de services de paiement;

une disposition de fond devrait être ajoutée prévoyant l’obligation d’intégrer le «respect de la vie privée dès la conception/respect de la vie privée par défaut» dans tous les systèmes de traitement de données développés et utilisés dans le cadre de la proposition de directive;

en ce qui concerne les échanges d’informations: i) mentionner les finalités pour lesquelles les données à caractère personnel peuvent être traitées par les autorités nationales compétentes, la Banque centrale européenne, les banques centrales nationales et les autres autorités visées à l’article 25, ii) spécifier le type d’informations personnelles qui peuvent être traitées dans le cadre de la proposition de directive, et iii) fixer une période de conservation des données proportionnelle au traitement ou, tout au moins, instaurer des critères précis pour son établissement;

une exigence devrait être introduite dans l’article 22 contraignant les autorités compétentes à demander des documents et des informations par une décision formelle, en spécifiant la base juridique et la finalité de la demande, les informations requises ainsi que le délai dans lequel ces informations doivent être communiquées;

l’article 31 devrait indiquer que les modalités prévues concernant la communication d’informations aux utilisateurs s’appliquent également à la communication d’informations sur le traitement de données à caractère personnel, en application des articles 10 et 11 de la directive 95/46/CE;

dans le cas du terme «disponibilité des fonds nécessaires» prévu aux articles 58 et 59, il devrait être précisé que les informations transmises aux tiers devraient consister en une simple réponse «oui» ou «non» à la question de savoir s’il y a suffisamment de fonds disponibles, et non en un relevé indiquant le solde du compte, par exemple;

dans le cas du terme «données sensibles en matière de paiements» à l’article 58, le mot «sensible» devrait être supprimé et remplacé par le terme «données en matière de paiements»;

il convient de clarifier dans un considérant que les obligations de signalement des incidents de sécurité s’appliquent sans préjudice des autres obligations de signalement d’incidents prévues par d’autres législations, en particulier les exigences relatives aux violations de données à caractère personnel prévues par la loi sur la protection des données (dans la directive 2002/58/CE et dans la proposition de règlement général relatif à la protection des données) et les exigences de notification d’incidents de sécurité envisagées dans le cadre de la proposition de directive sur la sécurité des réseaux et de l’information;

il convient de garantir que le traitement de données à caractère personnel et leur communication aux différents intermédiaires respectent les principes de confidentialité et de sécurité prévus aux articles 16 et 17 de la directive 95/46/CE;

une disposition de fond devrait être ajoutée à la proposition de directive prévoyant l’obligation de développer des normes sur la base — et après réalisation — d’analyses d’impact sur le respect de la vie privée;

il convient d’inclure dans la proposition de directive une référence à la nécessité de consulter le CEPD dans la mesure où les orientations de l’ABE concernant les techniques les plus avancées d’authentification des clients et les cas éventuels d’inapplication de l’authentification forte des clients portent sur le traitement de données à caractère personnel.

Fait à Bruxelles, le 5 décembre 2013.

Giovanni BUTTARELLI

Contrôleur européen adjoint de la protection des données


(1)  COM(2013) 547 final et COM(2013) 550 final.


Top