Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Commissions d'interchange pour les opérations de paiement liées à une carte

2013/0265(COD)

Avis du Contrôleur européen de la protection des données sur une proposition de directive du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2006/48/CE et 2009/110/CE et abrogeant la directive 2007/64/CE, ainsi qu’une proposition de règlement du Parlement européen et du Conseil relatif aux commissions d’interchange pour les opérations de paiement liées à une carte.

Le CEPD se félicite de l’introduction dans l’article 84 d’une disposition de fond prévoyant que tout traitement de données à caractère personnel aux fins de la proposition de directive doit être effectué conformément aux règles nationales transposant la directive 95/46/CE et la directive 2002/58/CE, ainsi qu’au règlement (CE) n° 45/2001.

Le CEPD recommande ce qui suit:

  • spécifier les références à la législation applicable en matière de protection des données dans des garde-fous concrets qui s’appliqueront à toute situation dans laquelle le traitement de données à caractère personnel est envisagé ;
  • préciser que la fourniture de services de paiement peut impliquer le traitement de données à caractère personnel ;
  • clarifier expressément que le traitement de données peut être effectué dès lors qu’il est nécessaire à la prestation de services de paiement;
  • introduire une disposition de fond prévoyant l’obligation d’intégrer le «respect de la vie privée dès la conception/respect de la vie privée par défaut» dans tous les systèmes de traitement de données développés et utilisés dans le cadre de la proposition de directive;
  • en ce qui concerne les échanges d’informations: i) mentionner les finalités pour lesquelles les données peuvent être traitées par les autorités nationales compétentes, la Banque centrale européenne, les banques centrales nationales et les autres autorités ; ii) spécifier le type d’informations personnelles qui peuvent être traitées ; iii) fixer une période de conservation des données proportionnelle au traitement;
  • introduire une exigence contraignant les autorités compétentes à demander des documents et des informations par une décision formelle, en spécifiant la base juridique et la finalité de la demande, les informations requises ainsi que le délai dans lequel ces informations doivent être communiquées;
  • en ce qui concerne la «disponibilité des fonds nécessaires», préciser que les informations transmises aux tiers devraient consister en une simple réponse «oui» ou «non» à la question de savoir s’il y a suffisamment de fonds disponibles, et non en un relevé indiquant le solde du compte, par exemple;
  • garantir que le traitement de données à caractère personnel et leur communication aux différents intermédiaires respectent les principes de confidentialité et de sécurité ;
  • ajouter une disposition de fond prévoyant l’obligation de développer des normes sur la base - et après réalisation - d’analyses d’impact sur le respect de la vie privée;
  • inclure une référence à la nécessité de consulter le CEPD dans la mesure où les orientations de l’ABE concernant les techniques les plus avancées d’authentification des clients portent sur le traitement de données à caractère personnel.