1. Les occurrences du consentement explicite dans la DSP 2. Là où le consentement, dans
Et puis, il y a cette autre occurrence, lourde de conséquences (pratiques) : le point 2 de l’article 94 sur la protection des données, où il est dit que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ». Une chose est sûre, c’est que, demain, dans les contrats-cadres de services de paiement (ou les conventions de compte), la traditionnelle « clause CNIL » qui s’y trouve ne devrait plus suffire à autoriser le traitement des données. Une interrogation dès lors : la notion de consentement explicite relèverait-elle du droit des données à caractère personnel et de son nouveau règlement général
2. Le consentement explicite dans le RGPD. La notion de consentement explicite de la personne concernée figure bien dans le RGPD. Son recueil est exigé dans des circonstances exceptionnelles : traitement portant sur des catégories particulières de données personnelles (article 9), décision individuelle automatisée, y compris le profilage (article 22) et, encore, transfert de données vers un pays tiers ou à une organisation internationale (article 49).
Mais point de définition de ce consentement explicite, sinon qu’il devrait être plus explicite encore que le « simple » consentement du RGPD, pourtant déjà fort caractérisé, car entendu comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (article 4, 11). Si bien que l’on ne sait guère si « explicite » vaut « exprès », à l’image, par exemple, de certains consentements du Code de la
3. La confirmation de la disponibilité des fonds. Très exceptionnelle devrait être cette action, puisque la demande de confirmation de la disponibilité des fonds faite par un émetteur d’instruments de paiement liés à une carte à un PSPGC est soumise à un double consentement explicite : celui que le payeur doit donner, avant la première demande de confirmation, au PSPGC pour qu’il réponde à la demande de l’émetteur (article 65, 1, b) ; celui que ce même payeur doit donner à l’émetteur pour qu’il demande une telle confirmation (article 65, 2, a).
S’y ajoutent que l’émetteur doit en outre s’« authentifier » auprès du PSPGC (les deux autres prestataires sans compte doivent seulement s’« identifier »), avant chaque demande de confirmation, conformément à l’article 98 de la DSP 2 (authentification forte) ; et que, par souci de protection des données à caractère personnel, la confirmation prendra la forme d’un simple « oui » ou « non », mais pas d’un relevé de compte.
4. L’initiation de paiement. L’originalité du consentement explicite nécessaire à l’initiation de paiement est qu’il n’est donné à personne, mais directement à l’exécution d’un paiement (article 66, 2), conformément au droit commun du consentement de l’article 64 de la DSP 2, qui veut qu’une opération de paiement ne soit réputée autorisée que si le payeur a donné son consentement à son exécution, sous la forme convenue avec le prestataire.
Explicite, le consentement doit sans doute l’être dans la mesure où, lorsqu’il a été donné, il déclenche une garantie : le PSPGC est en effet tenu de s’exécuter afin de « garantir » le droit de recourir à un service d’initiation de paiement. Sachant que, de son côté, le PSPGC est privé de consentement, puisque la fourniture de ce service n’est pas subordonnée à l’existence de relations contractuelles entre le prestataire de services d’initiation de paiement (PSIP) et le PSPGC. La même règle, au demeurant, est posée s’agissant du service d’information sur les comptes.
5. L’information sur les comptes. En la matière, le consentement explicite concerne le prestataire de services d’information sur les comptes (PSIC) : il fournit ses services uniquement sur la base du consentement explicite de l’utilisateur de services de paiement (article 67, 2, a).
Explicite mais aussi exprès : à l’instar du PSIP (article 66, 3, g), le PSIC n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’information sur les comptes « expressément » demandée par l’utilisateur de services de paiement, conformément aux règles relatives à la protection des données (article 67, 2, f). Consentement explicite d’un côté, demande expresse de l’autre : voilà de piquantes variations sur la volonté en droit des services de paiement.
Achevé de rédiger le 13 avril 2017.