De façon générale, les sociétés de commerce en ligne doivent avoir recueilli le consentement du client pour conserver son numéro de carte bancaire en vue de ses achats ultérieurs. C’est ce que vient de confirmer le Conseil d’ État, suivant la position de la CNIL (Commission nationale de l’informatique et des libertés), dans son arrêt du 10 décembre 2020.
Selon une recommandation de la CNIL relative à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, les commerçants doivent recueillir le consentement de leurs clients pour conserver leurs données bancaires au-delà d’une transaction, pour faciliter leurs achats ultérieurs. Seule la souscription à un abonnement dispense de cette obligation car elle inscrit le client dans une relation commerciale régulière.
Une société de commerce en ligne demande à la CNIL de modifier sa délibération afin de pouvoir conserver les numéros de carte bancaire de ses clients non abonnés au-delà de la transaction pour laquelle les données ont été recueillies. Selon cette société, cette conservation permettrait de faciliter leurs achats ultérieurs en les dispensant de saisir ce numéro à nouveau. Pour justifier cette conservation, cette société se fonde sur son intérêt légitime, prévue par le règlement général sur la protection des données (RGPD) permettant de se passer du consentement de la personne concernée.
Pour apprécier cet intérêt légitime, la CNIL met en balance l’intérêt légitime poursuivi par la société concernée et l’intérêt ou les libertés et droits fondamentaux des personnes concernées. Pour cela, elle tient compte de la nature des données traitées, de la finalité et des modalités du traitement, mais aussi des attentes que ces personnes peuvent raisonnablement avoir quant à l’absence de traitement ultérieur des données collectées.
Dans cette affaire, pour la CNIL, l’intérêt légitime de cette société ne peut prévaloir sur l’intérêt des clients de protéger leurs données, compte tenu notamment de la sensibilité des informations bancaires et des préjudices pouvant résulter d’une utilisation détournée de ces données. Par ailleurs, les clients ne peuvent raisonnablement s’attendre à une telle conservation sans leur consentement.
La société commerciale demande donc au Conseil d’État d’annuler la décision de refus de la CNIL.
Le Conseil d’État suit la position de la CNIL en écartant le motif de l’intérêt légitime comme base légale au titre du RGPD. Selon le Conseil d’État, la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs doit reposer sur le consentement explicite du client.
Source : Direction de l’information légale et administrative (Premier ministre), publié le 03 mai 2021
Textes de référence : Délibération n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017; Conseil d’État, 10ème – 9ème chambres réunies, 10/12/2020, 429571
Pour en savoir plus : Protection des données personnelles,