12 juin 2019
Un an après l’application du Règlement général sur la protection des données (RGPD), Rachelle Abi Lahoud, Data Protection Officer (DPO) chez Lemonway, rappelle les changements opérés par cette nouvelle réglementation dans le cadre de son activité d’établissement de paiement.
Le 25 mai 2018 entrait en application un nouveau règlement européen visant la protection des données personnelles. Jusqu’alors, cette dernière était encadrée en France par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi informatique et libertés ».
Difficile de passer à côté de ce fameux RGPD tant il a été médiatisé, suscité de nombreuses questions et nécessité de nouveaux ajustements ! Lemonway – qui est amenée cadre de son activité à collecter et traiter des données personnelles tant à l’égard de ses propres collaborateurs que de ses partenaires – est pleinement concernée par les dispositions du RGPD qu’elle doit quotidiennement concilier avec les réglementations qui régissent les établissements de paiement.
Coté juridique, le RGPD est venu uniformiser la réglementation sur les données personnelles au niveau européen mais aussi structurer et renforcer le cadre juridique de la collecte au traitement des données. Côté utilisateurs, le RGPD apporte, et c’est là son objectif premier, une plus grande maitrise et un contrôle des données les concernant.
Dès lors, différents niveaux de formalités et procédures ont été imposés afin de :
Le RGPD a nécessité pour Lemonway de se doter de nouvelles procédures pour assurer le traitement opérationnel de ces obligations : études d’impact, adaptation contractuelle, cartographie, formalisation de fiches de traitement…
Lemonway a été confrontée à un challenge de taille lors de cette première année d’application : la conciliation du RGPD aux autres réglementations en vigueur qui régissent les établissements de paiements telles que la 4ème Directive LCB/FT, la DPS2 ou encore les dispositions du Code monétaire et financier. Ces dernières vont dans le sens d’une authentification forte et donc d’une collecte poussée des données, là où le RGPD tente de la minimiser. A titre d’exemple, et selon les dispositions du RGPD, les données ne doivent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Or, le Code monétaire et financier impose la conservation des données personnelles pendant 5 ans à compter de la clôture du compte ou de la cessation de la relation avec le client dans le cadre des obligations en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB/FT – L.561-12 CMF).
Par ailleurs, l’activité de paiement de Lemonway s’étend dans plusieurs pays de l’Union Européenne. Le RGPD pouvant être cumulé avec les législations existantes sur les données personnelles et l’interprétation des « CNIL locales », les dispositions peuvent différer d’un pays à un autre ce qui nécessite une connaissance pointue des contraintes réglementaires locales et une transmission claire à nos clients.
Pour assurer un traitement efficace des demandes, Lemonway a notamment mis en place une adresse mail permettant un contact direct pour toutes demandes relatives aux données personnelles : [email protected].
Pour en savoir plus : https://preprod.lemonway.com/protection_des_donnees/
