La sélection d'une langue déclenchera automatiquement la traduction du contenu de la page.

Données personnelles

Sites en ligne : les numéros de carte bancaire ne peuvent être conservés qu'avec le consentement du client

Publié le 03 mai 2021 - Direction de l'information légale et administrative (Premier ministre)

Crédits : © Ngampol - stock.adobe.com

Paiement en ligne par carte bancaire

De façon générale, les sociétés de commerce en ligne doivent avoir recueilli le consentement du client pour conserver son numéro de carte bancaire en vue de ses achats ultérieurs. C'est ce que vient de confirmer le Conseil d' État, suivant la position de la CNIL (Commission nationale de l'informatique et des libertés), dans son arrêt du 10 décembre 2020.

Selon une recommandation de la CNIL relative à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, les commerçants doivent recueillir le consentement de leurs clients pour conserver leurs données bancaires au-delà d'une transaction, pour faciliter leurs achats ultérieurs. Seule la souscription à un abonnement dispense de cette obligation car elle inscrit le client dans une relation commerciale régulière.

Une société de commerce en ligne demande à la CNIL de modifier sa délibération afin de pouvoir conserver les numéros de carte bancaire de ses clients non abonnés au-delà de la transaction pour laquelle les données ont été recueillies. Selon cette société, cette conservation permettrait de faciliter leurs achats ultérieurs en les dispensant de saisir ce numéro à nouveau. Pour justifier cette conservation, cette société se fonde sur son intérêt légitime, prévue par le règlement général sur la protection des données (RGPD) permettant de se passer du consentement de la personne concernée.

Pour apprécier cet intérêt légitime, la CNIL met en balance l'intérêt légitime poursuivi par la société concernée et l'intérêt ou les libertés et droits fondamentaux des personnes concernées. Pour cela, elle tient compte de la nature des données traitées, de la finalité et des modalités du traitement, mais aussi des attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.

Dans cette affaire, pour la CNIL, l'intérêt légitime de cette société ne peut prévaloir sur l'intérêt des clients de protéger leurs données, compte tenu notamment de la sensibilité des informations bancaires et des préjudices pouvant résulter d'une utilisation détournée de ces données. Par ailleurs, les clients ne peuvent raisonnablement s'attendre à une telle conservation sans leur consentement.

La société commerciale demande donc au Conseil d'État d'annuler la décision de refus de la CNIL.

Le Conseil d'État suit la position de la CNIL en écartant le motif de l'intérêt légitime comme base légale au titre du RGPD. Selon le Conseil d'État, la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs doit reposer sur le consentement explicite du client.

Et aussi

À la une

Publicité

France 2021, les données clés

Le rôle des Actualités est de signaler rapidement des mesures susceptibles de modifier ou préciser des droits et obligations. Ces brèves d’actualité rendent compte également des modifications apportées aux démarches pratiques pour exercer ces droits. La rédaction n'est pas à l'origine de ces décisions et son rôle n’est pas d’en discuter. Tous ces courts articles mentionnent les sources à consulter. Il convient de s'y reporter soit pour vérifier l'information, en cas de besoin, soit pour en savoir plus. Vous pouvez en revanche signaler à la rédaction de service-public.fr d'éventuelles coquilles ou erreurs présentes dans l’article : Écrire à la rédaction