Intervention de Nathalie Goulet

J’en viens au prestataire de services de paiement, ou PSP : cela paraît simple, mais c’est celui qui permet à des tiers – marchands, ONG – d’accepter les paiements en ligne, en général par carte bancaire. Le PSP s’appuie sur des banques acquéreurs qui garantissent l’accès au réseau de paiement. D’après le code monétaire et financier, un prestataire de services de paiement est un établissement de crédit ou un établissement spécialisé dans les paiements, ce qui est une bonne chose, car à ce statut sont attachées des garanties et une sécurité.

Les prestataires de services de paiement assurent le transfert des fonds, ce qui est extrêmement important. Ils opèrent essentiellement sur le marché des achats en ligne, qui connaissent – on le sait – une croissance exponentielle. Ils ont profité de l’essor du cross-canal – ce n’est pas la journée de la francophonie, mais ça y ressemble ! –, qui permet à une entreprise d’écouler sa production à travers différents canaux de distribution, comme des magasins physiques ou des sites web.

Les services d’initiation de paiement permettent au consommateur de demander à un intermédiaire de présenter et d’exécuter des opérations de paiements en leur nom auprès de leur banque. Voilà encore un intervenant supplémentaire !

Avec tous ces intervenants, il est nécessaire de prévoir – c’est heureux ! – une double authentification, qui consiste en une double vérification de l’identité du client, lors de chaque achat.

J’aimerais maintenant vous dresser un récapitulatif des obligations de ces intervenants ou intermédiaires en ce qui concerne la conservation des données. Cela n’a l’air de rien, mais lorsque vous donnerez vos identifiants et autoriserez ces entreprises intermédiaires à utiliser vos comptes bancaires, il faut tout de même savoir combien de temps elles pourront conserver les données.

Nous avons évoqué précédemment la fraude et un certain nombre d’autres questions, et il est tout à fait heureux que la commission des finances ait adopté un amendement de protection et d’assurance. Mais, en réalité, avec un paiement unique, la durée de conservation des données court jusqu’à la réception du bien ou l’exécution de la prestation de service, augmentée du délai de rétractation prévu pour les ventes de biens ou de fourniture de prestations de services à distance.

En ce qui concerne les abonnements avec tacite reconduction, la conservation des données peut durer un certain temps. Si l’abonnement ne prévoit pas de tacite reconduction, elle court jusqu’à la dernière échéance de paiement.

Pour les services en ligne soumis à une tacite reconduction, vos données peuvent rester enregistrées ad vitam æternam, ce qui pose un évident problème de sécurité. En effet, on le sait bien, les entreprises subissent des prises de participation, sont vendues, revendues et cédées. Pendant ce temps, l’ensemble de vos données – il ne s’agit pas seulement de données personnelles, mais aussi de données bancaires – est aussi transféré.

En ce qui concerne la gestion des réclamations, la durée de conservation des données est de 13 mois suivant la date du débit ou de 15 mois en cas de carte de paiement à débit différé. Les données ainsi conservées à des fins de preuve peuvent être conservées en archive intermédiaire et n’être utilisées qu’en cas de contestation. Comment vérifier que nos données personnelles sont bien effacées de tous ces registres ? Comment allons-nous faire ? C’est tout de même problématique.

Les intermédiaires que j’ai cités conservent vos données de paiement pour faciliter des achats extérieurs et ultérieurs. Vous pouvez laisser vos données, par exemple, sur Amazon ou sur iTunes.