63.
En vertu de l’article 12 du RGPD, le responsable du traitement doit fournir aux personnes concernées les informations relatives aux traitements effectués "d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […]" lorsqu’il communique avec les personnes concernées.
a. Droit à l’information préalable
Les articles 13.2 (a) (Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée) et 14.2 (a) du RGPD (Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée) imposent au responsable du traitement d’informer les personnes sur la durée de conservation des données (ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée). Des informations précises sur les durées de conservation, en ce qu’elles contribuent à assurer pour les personnes concernées la maîtrise sur le traitement de leurs données, sont en effet importantes pour garantir un traitement équitable et transparent[1].
64.
Au vu de ces dispositions, la CNPD rappelle que les prestataires de service de paiements doivent être transparents sur les durées de conservation de données personnelles des utilisateurs, notamment suite à la clôture de leur compte. Cela implique également une information sur les bases de licéité appliquées pour la conservation de leurs données (la détermination de ces bases de licéité permettant, notamment, de déterminer leurs droits prévus par le RGPD). Lorsqu’il s’agit de l’article 6.1 (f) du RGPD, la nature de l’intérêt légitime poursuivi par le responsable du traitement devrait figurer dans les informations portées à la connaissance des personnes. De plus, l’obligation de transparence est renforcée lorsqu’il est question de traitement de catégories particulières de données à caractère personnel visées aux articles 9 et 10 du RGPD[2].
b. Droit à l’information lors de l’exercice des droits en cours de traitement
65.
Le responsable du traitement doit également fournir des informations claires aux personnes concernées lorsque ces derniers exercent leurs droits, tels que les droits d’accès et à l’effacement (article 12.1 du RGPD).
66.
Lorsqu’une personne concernée s’adresse à un prestataire de services de paiement dans le cadre de l’exercice de ses droits RGPD et si la personne a des questions en lien avec la conservation de ses données (par exemple une demande d’effacement), le responsable du traitement devra alors être en mesure de délivrer des informations précises : finalités de la conservation, bases de licéité, évènement déclenchant la durée de conservation, date(s) exacte(s) de l’effacement, données pouvant être effacées et données devant être conservées (informations figurant déjà dans le registre de traitement du prestataire de services de paiement).
-----------------------------------------------------------------------------------------------------------------------------------------------
[1] Cf. Commission Nationale de l’Informatique et des Libertés, Délibération de la formation restreinte n°SAN-2024-002 du 31 janvier 2024 concernant la société DE PARTICULIER A PARTICULIER – EDITIONS NERESSIS
[2] Footnote LDT EDPB Transparence
Exemple 6 : Un utilisateur (personne concernée) fait une demande d’effacement de toutes ses données (sur base de l’article 17.1 (a) du RGPD) auprès d’un prestataire de services de paiement après avoir résilié son contrat avec lui. Le prestataire de services de paiement, agissant en tant que responsable du traitement, ne pourra pas effacer une grande partie des données de la personne concernée au vu des obligations légales qui lui sont applicables (article 17.3 (b) du RGPD). Dans sa réponse à la personne concernée, les informations fournies par le responsable du traitement devront alors, conformément à l’article 12.1 du RGPD, être plus spécifiques que dans sa notice d’information et devront notamment contenir des développements relatifs aux dispositions légales applicables et aux catégories de données qui ne pourront pas être effacées. Une simple référence aux « obligations légales applicables dans le secteur financier » ne pourra pas être considérée comme suffisante au vu de l’article 12.1 du RGPD.
Exemple 7 : Pendant la phase d’archivage, un utilisateur (personne concernée) s’oppose, sur base de l’article 21.1 du RGPD et pour des raisons tenant à sa situation particulière, au traitement de ses données sur base de l’intérêt légitime du PSP. Après avoir éventuellement limité le traitement conformément à l’article 18.1 (d) du RGPD, le responsable du traitement devra soit (i) procéder à l’effacement des données en vertu de l’article 17.1 (c) du RGPD, soit (ii) démontrer qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice (article 21.1 du RGPD). C’est dans cette 2nde hypothèse qu’il appartient au prestataire de services de paiement de fournir à la personne concernée des informations précises sur le traitement et notamment sur les motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée.