O'News

Conservation des numéros de cartes bancaires : quelles sont vos obligations ?

La conservation d’un numéro de carte bancaire dans le but de faciliter de futurs achats doit obligatoirement faire l’objet d’un consentement préalable et implicite du consommateur, sauf dans le cadre de la souscription d’un abonnement.

Face au développement de la vente en ligne, les autorités sont de plus en plus vigilantes concernant le traitement des données personnelles des utilisateurs de ces services. Ainsi, la Cnil a récemment rappelé les obligations des professionnels de ce secteur concernant la conservation des coordonnées bancaires…

 

En septembre 2018*, la Commission nationale de l’informatique et des libertés (Cnil) a publié une recommandation permettant d’encadrer le stockage et l’utilisation des numéros de cartes bancaires, collectés lors de ventes à distance.

Ainsi, elle rappelle que les professionnels de ce secteur ne sont, en principe, pas autorisés
à conserver les numéros de cartes bancaires, sauf si certaines conditions sont remplies :
– le client a exprimé son consentement préalable et explicite pour autoriser cette conservation ;
– le temps de conservation ne doit pas excéder le délai nécessaire à la réalisation de la transaction ;
– le client a souscrit un abonnement instaurant une relation commerciale régulière entre lui et la société.

En outre, la conservation du cryptogramme (les trois derniers chiffres se trouvant au dos
de la carte bancaire) est, dans tous les cas, interdite. Celui-ci doit donc être réinscrit par les clients lors de chaque commande.

Vente en ligne et conservation des données bancaires : une adaptation de la réglementation ?

Estimant que les clients récurrents peuvent raisonnablement s’attendre à la sauvegarde
de leurs coordonnées bancaires pour faciliter leurs futures transactions, un site de commerce en ligne a récemment demandé à la Cnil de modifier ces dispositions et ainsi autoriser une telle conservation pour les utilisateurs non abonnés effectuant des achats fréquents.

À l’appui de sa demande, il invoque un « intérêt légitime » et précise qu’une telle possibilité est nécessaire à l’exécution de ses missions.

Pour mémoire, « l’intérêt légitime » est l’une des six bases légales prévues par le règlement général sur la protection des données (RGPD) permettant d’autoriser le traitement de données à caractère personnel. Toutefois, il ne peut être retenu que si l’intérêt poursuivi par la société ne crée pas de déséquilibre au détriment des libertés et droits fondamentaux des personnes.

La Cnil, dont la position est confirmée par le juge**, refuse cette demande. Elle rappelle qu’au regard du risque important encouru par les propriétaires de ces données (détournement, utilisation frauduleuse, etc.), l’intérêt légitime de la société n’est pas suffisant pour justifier une telle conservation sans leur consentement.

* Délibération de la Cnil du 6 septembre 2018, n° 2018-303
* Décision du conseil d’État du 10 décembre 2020, n° 429571

partager sur

Articles Similaires
O'News

Dirigeants = « maître de l’affaire » ?

Thématique CONTRÔLE FISCAL

O'News

Référent harcèlement sexuel : un nouvel acteur

Thématique SANTÉ ET SÉCURITÉ AU TRAVAIL

O'News

Du nouveau concernant la réduction d’impôt sur le revenu Madelin

Thématique RÉDUCTION D’IMPÔT

O'News

Conservation des numéros de cartes bancaires : quelles sont vos obligations ?

Thématique VIE DES SOCIÉTÉS

S'abonner
à la newsletter