Nous vous parlons régulièrement de l’importance qu'occupe le consentement dans le quotidien de notre activité, et nous avons déjà largement couvert ce sujet : du privacy by design, à la construction de notre nouveau funnel et son inscription au coeur du principe de l'authentification forte, il est la clé de voûte de notre service offert aux shoppers. Nous allons encore plus loin en comparant ici le célèbre consentement explicite RGPD au consentement explicite DSP2 qui nous concerne.
La promotion de l’open banking en 2018 par la DSP2 -la directive sur les services de paiement- a ouvert la possibilité pour les agrégateurs de comptes d'accéder aux données de paiement des shoppers, avec leur consentement.
Le consentement, de 90 à 180 jours
Ainsi, avec la permission de l’utilisateur, il est désormais possible pour les marchands (retailers, centres commerciaux, marques) de proposer une multitude d'avantages aux shoppers (agrégation de compte, rewards, cashback, e-ticket, buy now pay later, etc) et d’accéder à une connaissance client (panier, parcours, profil, scoring) inégalée grâce aux API développées par ces prestataires de paiement.
La DSP2 place le consentement au cœur de la donnée de paiement. La notion de “consentement explicite” étant présente à la fois dans la DSP2 (PSD2 en anglais) et le RGPD -Règlement Général sur la Protection des Données- (GDPR en anglais) il est très tentant de les rapprocher. Néanmoins, l’expression “consentement explicite” dans le RGPD a un sens bien différent dans la DSP2. Notre Head of Legal, Nurgül Sivasli, vous explique.
Etre conforme au RGPD
La donnée de paiement est une donnée hautement confidentielle et par nature à caractère personnel. Son traitement nécessite donc une base légale pour être conforme au RGPD.
Lire à ce ce sujet : RGPD et donnée de paiement : quels enjeux ?
Il existe 6 bases légales possibles dans le RGPD et cette liste est exhaustive :
1. Le consentement
2. Le contrat
3. L’obligation légale
4. La mission d’intérêt public
5. L’intérêt légitime
6. La sauvegarde des intérêts vitaux.
Dans le RGPD, le consentement est donc une des six bases légales indiquées à l’article 6 du RGPD, qui peuvent justifier la mise en œuvre d’un traitement d’information sur les comptes mais il n’est obligatoire que dans des cas bien particuliers. Par exemple lorsque des données sensibles sont recueillies (art.9), pour autoriser une décision individuelle automatisée (art.22) ou encore en cas de transfert de données à caractère personnel hors de l’Union européenne (art.49).
Ce consentement RGPD est plus fort qu’un consentement classique et nécessite un acte à la fois positif et clair le plus souvent illustré par une case à cocher accompagné d’une déclaration de consentement de type : “J’autorise X à traiter mes données personnelles pour Y finalité”.
DSP2, une nature contractuelle
Dans la DSP2, le consentement explicite est un consentement de nature contractuelle. C'est la base légale qui permet le traitement des données à caractère personnel nécessaires à l’exécution des services de paiement. C'est l’exécution pure du contrat (art.94 DSP2).
Tout au long de l'exécution de ce contrat, le recueil du consentement de la personne concernée par le traitement n’est ainsi pas nécessaire. La personne concernée devra résilier son contrat (conditions générales de vente ou utilisateur) afin de ne plus voir ses données personnelles traitées, ou attendre le délai de 90 jours de renouvellement de son consentement.
Ainsi, si le traitement des données n'est pas expressément prévu au contrat, il ne sera pas possible pour le prestataire de le réaliser. Tout doit avoir lieu dans le cadre strict du contrat ce qui ne laisse pas non plus de place à une réutilisation ultérieure des données pour des causes non prévues au contrat.