1.
Ces lignes directrices s’adressent principalement aux prestataires de services de paiement (ci-après les « PSP » ou « responsables du traitement ») au sens de la loi modifiée du 10 novembre 2009 relative aux services de paiement [1] (ci-après la « Loi de 2009 ») [2].
2.
Les prestataires de service de paiement collectent et traitent un volume important de données personnelles, au moment de l’entrée en relation, pendant toute la durée de la relation, et même bien après la fin de la relation avec l’utilisateur du service (ci-après l’« utilisateur » ou la « personne concernée »). Par ailleurs, les innovations technologiques ont fortement accru la capacité des prestataires de services de paiement à recueillir, stocker, combiner et analyser un large éventail de données concernant leurs utilisateurs.
3.
Les données à caractère personnel susceptibles d’être traitées par des PSP peuvent comprendre des informations sur la situation personnelle de la personne concernée (âge, nationalité, situation matrimoniale…), sa situation économique et financière, les données de paiement (telles que le montant de la transaction, la date et l’heure du paiement, l’identité du bénéficiaire d’une transaction, l’IBAN ou encore les données de sécurité personnalisées), le score de lutte anti-fraude de la personne concernée, les données contextuelles ou comportementales (préférences et habitudes de consommation, géolocalisation, caractéristiques du terminal utilisé pour un achat en ligne, temps passé à prospecter…).
4.
Or, bien qu’elles ne bénéficient pas d’un statut particulier en vertu du règlement général sur la protection des données (UE) 2016/679 (ci-après le « RGPD »), nombre de ces données sont à considérer comme des données « sensibles » (au sens commun du terme) dans la mesure où leur violation pourrait avoir des incidences graves dans la vie quotidienne de la personne concernée [3].
5.
Eu égard l’ampleur de ces traitements, la CNPD souhaite rappeler certains des principes clés de l’article 5 du RGPD en ce qui concerne le traitement des données des utilisateurs des services de paiement. Un PSP ne peut traiter les données à caractère personnel d’une personne concernée que si le traitement envisagé est licite; c’est-à-dire nécessaire à l’exécution du contrat avec l’utilisateur, nécessaire au respect d'une obligation légale à laquelle le PSP est soumis, nécessaire aux fins des intérêts légitimes poursuivis par le PSP ou, dans des cas plus rares, sur l’une des autres bases juridiques pour le traitement des données mentionnées à l’article 6 du RGPD. Conformément au principe de transparence, les personnes concernées doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’elles soient clairement informées de l’utilisation qui sera faite de leurs données dès leur collecte et tout au long du cycle de vie du traitement. De plus, les données personnelles des utilisateurs ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (principe de limitation des finalités). Les données doivent également être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation des données). Elles doivent aussi être exactes et, si nécessaire, tenues à jour (principe d’exactitude).
6.
Enfin, selon l’article 5.1 (e) du RGPD, les données à caractère personnel doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] » (principe de limitation de la conservation des données). Les présentes lignes directrices n’aborderont pas en détails la question des données nécessaires à l’exécution des contrats qui sont conservées pendant la durée de la relation contractuelle mais plutôt l’ensemble des aspects relatifs aux durées de conservation une fois cette relation avec la personne concernée terminée. En effet, les PSP conservent généralement les données personnelles de leurs utilisateurs afin de respecter certaines obligations légales ou afin de se prémunir de certaines actions en justice pendant les durées de prescriptions légales.
7.
Sans prétendre à l’exhaustivité, ces lignes directrices ont pour objectif d'éclairer les acteurs concernés sur les durées et modalités de conservation des données personnelles qu’ils traitent dans le contexte d’un secteur fortement régulé. La protection des données à caractère personnel est de plus en plus ancrée dans les différentes réglementations européennes (également celles applicables spécifiquement au secteur financier) et la CNPD souhaiterait éclairer autant que possible les responsables du traitement concernés sur l’application de certaines de ces dispositions par rapport aux exigences du RGPD en matière de durées de conservation des données personnelles. Avec la présence de nombreux prestataires de services de paiement agissant en tant que responsables du traitement basés au Luxembourg [4] et conformément aux recommandations du Comité européen de la protection des données (ci-après le « CEPD ») et du législateur européen, la CNPD entend en effet adopter une approche holistique du cadre réglementaire applicable aux acteurs du secteur financier, et ce en coopération avec les autres autorités compétentes au Luxembourg [5][6].
-----------------------------------------------------------------------------------------------------------------------------------------------
[1] https://www.cssf.lu/fr/Document/loi-du-10-novembre-2009/
[2] Si les principes exposés dans les présentes lignes directrices peuvent également s’appliquer à d'autres professionnels du secteur financier, la présente guidance n’a cependant pas pour objet d’exposer les spécificités applicables pour les autres professionnels.
[3] Lignes directrices du groupe de travail «Article 29» concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, WP248 rev.01 – approuvées par l’EDPB (p.11) ; Lignes directrices 6/2020 relatives à l’interaction entre la deuxième directive sur les services de paiement et le RGPD, Version 2.0, Adoptées le 15 décembre 2020 (§69)
[4] En mai 2025, on dénombre au Luxembourg 117 établissements de crédit, 17 établissements de paiement et 12 établissements de monnaie électronique (source : https://www.cssf.lu/wp-content/uploads/newsletter292.pdf)
[5] Cf. EDPB Strategy 2024-2027 : « L’EDPB s’emploiera à renforcer la coopération avec d’autres autorités de régulation, en vue d’intégrer le droit à la protection des données dans l’architecture réglementaire globale. »
[6] Cf. considérant 130 de la Proposition de Règlement concernant les services de paiement dans le marché intérieur et modifiant le règlement (UE) nº 1093/2010, 28.06.2023 (2023/0210 (COD)): « L’efficacité du cadre de l’Union relatif aux services de paiement dépend de la coopération entre de multiples autorités compétentes, notamment des autorités nationales chargées de la fiscalité, de la protection des données, de la concurrence, de la protection des consommateurs, de l’audit, de la police et d’autres autorités chargées de faire respecter la législation. Les États membres devraient veiller à ce que leur cadre juridique permette et facilite cette coopération en tant que de besoin pour atteindre les objectifs du cadre de l’Union relatif aux services de paiement, y compris par la bonne application de ses règles. […]»