La grande majorité des sites internet proposent aujourd’hui un enregistrement des numéros de cartes bancaires afin de faciliter l’expérience de l’utilisateur, et de lui éviter de devoir ressaisir les informations dans le futur.
Le Comité européen pour la protection des données a adopté des recommandations relatives à la conservation des numéros de cartes bancaires par les e-commerçants. Ces recommandations viennent confirmer celles de la CNIL datant de 2018.
Le RGPD prévoit des règles strictes s’agissant de la collecte et du traitement de ces données dites “sensibles”. Les enjeux de sécurité et d’harmonisation appelaient une intervention au niveau européen.
Les conditions de conservation des données bancaires imposées par la CNIL
La CNIL impose une condition essentielle pour que les numéros de cartes bancaires puissent être conservés par le e-commerçant pour de futurs achats : le consentement du consommateur doit avoir été préalablement recueilli. Ce consentement doit être libre, spécifique, éclairé et univoque. Cette position a été validée par le Conseil d’Etat dans une décision datant du 10 décembre 2020.
Concrètement, il faut obtenir le consentement des consommateurs de manière claire (par le biais d’une case à cocher par exemple) et conserver la preuve de ce consentement de manière pérenne.
Une solution harmonisée au niveau Européen
Le 19 mai 2021, le Comité européen pour la protection des données a validé la position de la CNIL en ajoutant quelques précisions.
Le Comité rappelle que ce consentement doit être distinct de celui donné par l’utilisateur pour les conditions générales de vente par exemple. Précisément, le consentement doit prendre la forme d’une “action affirmative claire”, c’est-à-dire que son recueil ne peut être fait sur la base d’une case déjà pré-cochée et qu’il ne peut concerner d’autres demandes que celle de la conservation des coordonnées bancaires afin de ne pas induire le consommateur en erreur.
Outre la condition de forme relative à l’obtention du consentement des personnes concernées pour la conservation de leurs coordonnées bancaires, le Comité indique ici la base juridique impérative de ce type de traitement : le consentement des personnes.
L’intérêt légitime ou la réalisation du contrat qu’il aurait été tentant d’utiliser comme base légale à ce traitement ne peuvent donc pas être mentionnés pour la conservation des coordonnées bancaires des consommateurs pour leurs futurs achats.
Enfin, ce consentement n’est pas définitif, il doit pouvoir être retiré, gratuitement et à n’importe quel moment. Cette action doit obligatoirement mener à la suppression effective et inconditionnelle des numéros de cartes bancaires conservés.
Nous sommes à votre disposition pour répondre à vos questions et vous assister le cas échéant dans la mise en œuvre de ces recommandations.