Regard d'experts
En septembre 2018*, la Commission nationale de l’informatique et des libertés (Cnil) a publié une recommandation permettant d’encadrer le stockage et l’utilisation des numéros de cartes bancaires, collectés lors de ventes à distance.
Ainsi, elle rappelle que les professionnels de ce secteur ne sont, en principe, pas autorisés
à conserver les numéros de cartes bancaires, sauf si certaines conditions sont remplies :
– le client a exprimé son consentement préalable et explicite pour autoriser cette conservation ;
– le temps de conservation ne doit pas excéder le délai nécessaire à la réalisation de la transaction ;
– le client a souscrit un abonnement instaurant une relation commerciale régulière entre lui et la société.
En outre, la conservation du cryptogramme (les trois derniers chiffres se trouvant au dos
de la carte bancaire) est, dans tous les cas, interdite. Celui-ci doit donc être réinscrit par les clients lors de chaque commande.
Vente en ligne et conservation des données bancaires : une adaptation de la réglementation ?
Estimant que les clients récurrents peuvent raisonnablement s’attendre à la sauvegarde
de leurs coordonnées bancaires pour faciliter leurs futures transactions, un site de commerce en ligne a récemment demandé à la Cnil de modifier ces dispositions et ainsi autoriser une telle conservation pour les utilisateurs non abonnés effectuant des achats fréquents.
À l’appui de sa demande, il invoque un « intérêt légitime » et précise qu’une telle possibilité est nécessaire à l’exécution de ses missions.
Pour mémoire, « l’intérêt légitime » est l’une des six bases légales prévues par le règlement général sur la protection des données (RGPD) permettant d’autoriser le traitement de données à caractère personnel. Toutefois, il ne peut être retenu que si l’intérêt poursuivi par la société ne crée pas de déséquilibre au détriment des libertés et droits fondamentaux des personnes.
La Cnil, dont la position est confirmée par le juge**, refuse cette demande. Elle rappelle qu’au regard du risque important encouru par les propriétaires de ces données (détournement, utilisation frauduleuse, etc.), l’intérêt légitime de la société n’est pas suffisant pour justifier une telle conservation sans leur consentement.
* Délibération de la Cnil du 6 septembre 2018, n° 2018-303
* Décision du conseil d’État du 10 décembre 2020, n° 429571
Les informations indiquées dans cet article sont valables à la date de diffusion de celui-ci.
