28.9.2011   

FR

Journal officiel de l'Union européenne

C 284/1


Avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil établissant des exigences techniques pour les virements et les prélèvements en euros et modifiant le règlement (CE) no 924/2009

2011/C 284/01

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu la demande d’avis formulée conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2),

A ADOPTÉ L’AVIS SUIVANT:

1.   INTRODUCTION

1.

Le 16 décembre 2010, la Commission a adopté une proposition de règlement du Parlement et du Conseil établissant des exigences techniques pour les virements et les prélèvements en euros et modifiant le règlement (CE) no 924/2009 (ci-après «la proposition»).

1.1.   Consultation du CEPD

2.

La Commission a envoyé la proposition au CEPD le 3 janvier 2011. Le CEPD considère cette communication comme une demande d'avis à formuler à l'intention des institutions et organes communautaires, comme cela est prévu à l'article 28, paragraphe 2, du règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données [ci-après «le règlement (CE) no 45/2001»]. Auparavant (3), avant l’adoption de la proposition, la Commission a donné au CEPD l’occasion de lui faire part de ses observations informelles. Le CEPD se félicite de l’ouverture du processus, qui a permis d’améliorer le texte en amont du point de vue de la protection des données. Certaines de ces observations ont été prises en compte dans la proposition. Le CEPD souhaiterait qu’il soit fait explicitement référence à la présente consultation dans le préambule de la proposition.

1.2.   Le SEPA et le cadre juridique

3.

Depuis la création de la Communauté économique européenne, un mouvement progressif s’est dessiné vers une plus grande intégration du marché financier européen. Dans le domaine des paiements, les mesures les plus marquantes ont été le lancement de l’euro comme monnaie commune en 1999 et l’entrée en circulation des billets de banque et des pièces de monnaie en euro en 2002.

4.

Toutefois, à ce jour, les paiements de faible valeur non scripturaux en euros (jusqu’à 50 000 EUR) sont toujours traités de différentes manières dans l’ensemble de l’UE. De ce fait, les commissions applicables aux paiements transfrontaliers à l’intérieur de l’UE sont en moyenne plus élevées que celles applicables aux paiements nationaux. Un règlement européen concernant les paiements transfrontaliers en euros [règlement (CE) no 2560/2001] disposait, notamment, que les commissions ne pouvaient plus être plus élevées pour les paiements transfrontaliers en euros au sein de l’UE que celles applicables aux paiements nationaux correspondants en euros. En réaction à ce règlement, le secteur bancaire européen a créé, en 2002, le Conseil européen des paiements («CEP»), qui constituait l’organe de coordination et de prise de décision pour les questions de paiement, et a lancé le projet de l’espace unique de paiements en euros («SEPA»). En 2009, le règlement (CE) no 924/2009 a remplacé le règlement (CE) no 2560/2001 et étendu le principe de l’égalité des frais aux prélèvements, appliqué sur le plan transfrontalier à partir de novembre 2009.

5.

Par ailleurs, la directive 2007/64/CE (ci-après «la directive sur les services de paiement») vise à harmoniser les législations nationales relatives aux paiements dans l’Union européenne. L’objectif est d’établir des conditions et des droits normalisés pour les services de paiement et de rendre les paiements transnationaux aussi faciles, efficaces et sûrs que les paiements «nationaux» au sein d’un État membre. La directive sur les services de paiement cherche aussi à renforcer la concurrence en ouvrant les marchés des paiements aux nouveaux arrivants.

6.

Le SEPA vise à instaurer un marché unique des paiements de détail en euros en surmontant les obstacles techniques, juridiques et commerciaux découlant de la période antérieure à l’introduction de la monnaie unique. Dès que le SEPA sera achevé, il n’y aura plus de différence entre les paiements nationaux et transfrontaliers en euros: ils seront tous nationaux. Le SEPA ne couvre pas seulement la zone euro, mais l’ensemble de l’Union européenne (UE) ainsi que l’Islande, le Liechtenstein, Monaco, la Norvège et la Suisse. Cela implique que les communautés en dehors de la zone euro peuvent adopter les normes et les pratiques du SEPA pour leurs paiements en euros.

7.

La proposition s’applique aux virements et aux prélèvements. Le virement est un paiement effectué par le payeur, qui envoie une instruction à sa banque. La banque transfère ensuite l’argent à la banque du bénéficiaire, ce qui peut se faire par plusieurs intermédiaires. Dans le cas des prélèvements, le payeur autorise à l’avance le bénéficiaire à débiter son compte bancaire. Le payeur donne à sa banque le «mandat» de transférer l’argent sur le compte du bénéficiaire. Les prélèvements sont souvent utilisés pour les paiements récurrents, tels que les factures d’utilité publique, mais aussi parfois pour les paiements occasionnels. Dans ce cas, le payeur autorise un paiement ponctuel.

1.3.   Le SEPA et le régime de protection des données de l’UE

8.

L’introduction et le développement du SEPA impliquent plusieurs traitements de données: les noms, les numéros de compte bancaire et le contenu des contrats doivent être échangés directement entre les payeurs et les bénéficiaires par l’intermédiaire de leurs prestataires de services de paiement respectifs afin de garantir le bon fonctionnement des transferts. C’est dans ce but que la proposition prévoit également un article sur l’«interopérabilité», qui soutient la création de règles normalisées pour les transactions nationales et transfrontalières et déclare explicitement qu’aucun obstacle technique ne doit entraver le traitement des virements et des prélèvements. Les différents opérateurs économiques concernés par les activités couvertes par la proposition sont soumis aux différentes législations nationales mettant en œuvre la directive 95/46/CE.

9.

Le CEPD souligne que l’échange et le traitement de données à caractère personnel liées aux payeurs et aux bénéficiaires et aux différents prestataires de services de paiement doivent respecter les principes de nécessité, de proportionnalité et de limitation de la finalité. Le transfert des données entre les différents intermédiaires doit également respecter les principes de confidentialité et de sécurité du traitement, conformément aux articles 16 et 17 de la directive 95/46/CE.

10.

La proposition prévoit aussi un nouveau rôle pour les autorités nationales chargées de contrôler le respect de la réglementation et de prendre toutes les mesures nécessaires pour garantir celui-ci. Si ce rôle est fondamental pour garantir une mise en œuvre effective du SEPA, il est aussi susceptible d’accorder aux autorités de larges pouvoirs leur permettant de traiter ultérieurement les données à caractère personnel des individus. Dans ce domaine aussi, l’accès des autorités nationales compétentes aux données à caractère personnel doit respecter les principes de nécessité, de proportionnalité et de limitation des finalités.

11.

Bien que la proposition ne doive pas comprendre de dispositions trop détaillées sur le respect des principes de protection des données, qui est garanti par l’applicabilité à tout traitement des législations nationales mettant en œuvre la directive 95/46/CE, le CEPD suggère d’apporter certaines améliorations au texte afin de le clarifier.

2.   OBSERVATIONS SPÉCIFIQUES

2.1.   Considérant 26

12.

Le CEPD se réjouit que la directive 95/46/CE soit mentionnée au considérant 26 de la proposition. Toutefois, afin de souligner que les diverses législations nationales mettant en œuvre cette directive constituent les références appropriées et de mettre l’accent sur le fait que tout traitement de données doit être effectué conformément aux règles de mise en œuvre, le texte du considérant pourrait être modifié comme suit: «Tout traitement de données à caractère personnel effectué en application du présent règlement doit être conforme aux législations nationales concernées mettant en œuvre la directive 95/46/CE».

2.2.   Articles 6, 8, 9 et 10: pouvoirs des autorités nationales compétentes

13.

L’article 6 de la proposition interdit l’application de toute commission multilatérale d’interchange (4) facturée par opération de prélèvement ou toute autre rémunération ayant un objet ou un effet équivalent. En outre, en qui concerne les opérations de prélèvement qui ne peuvent être correctement exécutées par un prestataire de services de paiement (ordre de paiement rejeté, refusé, retourné ou rectifié — transactions R), une commission multilatérale d’interchange peut être appliquée si un certain nombre de conditions sont remplies.

14.

L’article 8 de la proposition instaure des obligations pour le payeur qui utilise des virements et pour le bénéficiaire qui utilise des prélèvements. Un payeur ne peut refuser d’effectuer des virements vers des comptes de paiement ouverts auprès de prestataires de services de paiement situés dans un autre État membre et accessibles (5) conformément à l’article 3. Un bénéficiaire qui reçoit des fonds sur son compte de paiement à partir d’autres comptes ouverts auprès de prestataires de services de paiement situés dans le même État membre ne peut refuser de recevoir des fonds par prélèvement à partir de comptes de paiement ouverts auprès de prestataires de services de paiement situés dans un autre État membre.

15.

L’article 9 de la proposition impose aux États membres de désigner les autorités compétentes chargées d’assurer le respect du règlement. Ces autorités sont dotées de toutes les compétences nécessaires à l’accomplissement de leur mission. Elles contrôlent le respect du règlement et prennent toutes les mesures nécessaires à cette fin. Par ailleurs, l’article 9, paragraphe 3, prévoit qu’en cas de pluralité d’autorités compétentes pour les questions relevant du règlement sur son territoire, les États membres veillent à ce que ces autorités collaborent étroitement, de sorte qu’elles puissent s’acquitter efficacement de leurs missions respectives. L’article 10 oblige les États membres à arrêter le régime des sanctions à appliquer en cas d’infraction au règlement et à garantir sa mise en œuvre. Les sanctions doivent être effectives, proportionnées et dissuasives.

16.

Sur la base de ces articles, les autorités nationales sont habilitées à contrôler les éventuelles infractions à l’ensemble des obligations contenues dans la proposition et d’infliger des sanctions, notamment en rapport avec l’obligation visée aux articles 6 et 8. Ce pouvoir est susceptible d’avoir une grande incidence sur la vie privée des personnes du point de vue de la protection des données: les autorités pourraient avoir un accès généralisé aux informations relatives à tout transfert de fonds (par virement ou prélèvement) entre des personnes pour vérifier si des commissions multilatérales d’interchange ont été facturées ou si un refus a été opposé, en infraction aux obligations prévues aux articles 6 et 8. Ce pouvoir implique le traitement de données à caractère personnel (noms des personnes physiques concernées, leurs numéros de compte bancaire et les montants des fonds à recevoir ou à transférer).

17.

Quoiqu’un tel traitement de données à caractère personnel doive être conforme aux règles nationales mettant en œuvre la directive 95/46/CE, le CEPD souhaite insister sur le fait que l’obligation de contrôle doit déjà être évaluée dans la proposition à la lumière des principes de proportionnalité et de nécessité consacrés par ladite directive [article 6, paragraphe 1, point c)]. À cet égard, compte tenu notamment des articles 6 et 8, le CEPD estime qu’il serait plus proportionné d’instaurer un système qui ne déclencherait qu’au cas par cas le traitement des données à caractère personnel par les autorités compétentes. Cela impliquerait que l’intervention de l’autorité — et, partant, le traitement des données à caractère personnel d’un payeur ou bénéficiaire donné — serait essentiellement activé pour une raison spécifique, comme lorsqu’une réclamation pour infraction aux articles 6 ou 8 est introduite par un payeur ou un bénéficiaire, ou dans le contexte d’une enquête ciblée menée d’initiative, éventuellement sur la base d’informations fournies par un tiers.

18.

L’efficacité du contrôle du respect serait garantie par la mise en place d’un mécanisme permettant à un plaignant d’introduire une réclamation ou à un tiers de communiquer des informations et d’obtenir rapidement une réaction de l’autorité, qui pourrait intimer à l’autre partie l’ordre de respecter les obligations visées aux articles 6 et 8. En fait, la proposition prévoit déjà, à l’article 11, des règles concernant les procédures de réclamation et de recours extrajudiciaires en vue du règlement des litiges qui opposent les utilisateurs de services de paiement à leurs prestataires de services de paiement (couvrant le cas de l’article 6). Afin d’encourager le respect des obligations visées à l’article 8 sans accorder aux autorités nationales un accès large et généralisé aux données à caractère personnel, le CEPD suggère que la disposition de l’article 11 couvre également les litiges entre les payeurs et les bénéficiaires.

19.

Le CEPD note également que les activités de contrôle peuvent entraîner des transferts de données à caractère personnel entre les autorités nationales compétentes de différents États membres dans le cadre de l’«étroite collaboration» mentionnée à l’article 9, paragraphe 3. Étant donné les larges pouvoirs attribués aux autorités nationales aux fins du contrôle du respect du règlement (et même dans le cas où les limitations liées aux articles 6 et 8, qui ont été suggérées ci-dessus, seraient introduites), le CEPD suggère que le texte mentionne explicitement que tout transfert de données à caractère personnel entre ces autorités doit respecter les principes concernés de protection des données. Plus particulièrement, ces transferts ne doivent pas être effectués massivement, mais uniquement en relation avec des cas spécifiques présentant déjà une présomption prima facie d’infraction éventuelle au règlement. Par conséquent, la phrase suivante pourrait être ajoutée à l’article 9, paragraphe 3: «Les transferts de données à caractère personnel entre les autorités compétentes dans le contexte de cette étroite collaboration n’ont lieu qu’au cas par cas lorsqu’il existe des soupçons raisonnables d’une violation du règlement et dans le respect des principes de nécessité, de proportionnalité et de limitation de la finalité».

2.3.   Annexe

20.

L’annexe à la proposition établit les exigences techniques qui doivent être respectées aussi bien aux opérations de virement qu’aux opérations de prélèvement en application de l’article 5 de la proposition. La raison d’être de ces exigences est d’harmoniser les formats d’identification et de communication de manière à garantir l’interopérabilité des opérations de virement et de prélèvement entre les États membres.

21.

Dans ce contexte, un traitement de données à caractère personnel par les intermédiaires (les prestataires de services de paiement) a lieu à diverses occasions (6):

a)

Article 2, point b): pour les virements, les données à transférer du payeur au prestataire de services de paiement de celui-ci et transmises jusqu’au bénéficiaire via la chaîne de paiement sont: le nom du payeur et/ou le code IBAN du compte de paiement du payeur, le montant du virement, le nom et le code IBAN du bénéficiaire et éventuellement le libellé d’opération;

b)

Article 3, point b): pour les prélèvements, les données à transférer du bénéficiaire au prestataire de services de paiement de celui-ci, puis de ce dernier au prestataire de services de paiement du payeur avec chaque transaction sont les informations liées au mandat (7);

c)

Article 3, point g): pour les prélèvements, les données à transférer du bénéficiaire au prestataire de services de paiement de celui-ci et transmises jusqu’au payeur via la chaîne de paiement sont: le nom du bénéficiaire et le code IBAN de son compte, le nom du payeur et le code IBAN de son compte de paiement.

22.

Bien que tout traitement de données à caractère personnel doive respecter les législations nationales concernées mettant en œuvre la directive 95/46/CE, le projet de proposition indique uniquement que les transferts en rapport avec la situation décrite au point a) ci-dessus sont effectués «conformément aux obligations prévues par la législation nationale mettant en œuvre la directive 95/46/CE». Afin d’éviter toute interprétation erronée, le CEPD suggère qu’une telle référence à la directive soit également incluse en rapport avec l’article 3, points b) et g). En revanche, si le texte du considérant 26 devait être modifié suivant la suggestion formulée ci-dessus, le libellé de l’article 2, point b), pourrait exclure la référence à la directive 95/46/CE.

3.   CONCLUSION

23.

Le CEPD se réjouit qu’il soit fait spécifiquement référence à la directive 95/46/CE dans la proposition. Il suggère cependant quelques modifications mineures au texte afin de clarifier l’applicabilité des principes de la protection des données aux traitements couverts par la proposition. En particulier:

le considérant 26 doit exprimer le fait que les législations nationales mettant en œuvre la directive 95/46/CE sont les références appropriées et souligner que tout traitement de données doit être effectué conformément à ces législations de mise en œuvre;

le pouvoir de contrôle des autorités nationales compétentes sur les obligations visées aux articles 6 et 8 doit être limité à une appréciation au cas par cas, lorsqu’il existe une présomption raisonnable d’infraction au règlement, tandis que, pour encourager le respect des obligations visées à l’article 8, le mécanisme de recours en vue du règlement des litiges prévu à l’article 11 doit être étendu aux litiges entre le payeur et le bénéficiaire;

les références à la directive 95/46/CE dans l’annexe doivent être harmonisées afin d’éviter toute interprétation erronée.

Fait à Bruxelles, le 23 juin 2011.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31 (ci-après «la directive 95/46/CE»).

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  En septembre 2010.

(4)  La commission multilatérale d’interchange est le montant payé par le prestataire de services de paiement du bénéficiaire au prestataire de services de paiement du payeur dans le cadre d’un prélèvement.

(5)  Cette exigence vise à garantir que tout prestataire de services de paiement accessible pour un virement ou un prélèvement au niveau national soit également accessible pour des transactions initiées via des prestataires de services de paiement situés dans tout autre État membre (article 3 de la proposition).

(6)  Le nom et le numéro IBAN sont transférés directement du bénéficiaire au payeur dans le cas du virement et du payeur au bénéficiaire dans le cas du prélèvement. Dans un cas comme dans l’autre, la légitimité du traitement procède du fait que la personne concernée transfère volontairement ses propres données.

(7)  Ces informations peuvent comprendre le nom du payeur, son adresse, son numéro de téléphone et toute autre information liée au contrat qui constitue la raison du transfert de fonds.