Le Conseil d’Etat réaffirme dans une décision du 10 décembre 2020[1] la nécessité du consentement explicite du client pour qu’une société de vente de biens ou services en ligne puisse conserver ses données bancaires et ainsi mémoriser son numéro de carte bancaire.

En cause, la société Cdiscount demandait l’annulation pour excès de pouvoir de la délibération de la CNIL du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017

 

Que prévoit cette recommandation ?  

Cette recommandation prévoit la conservation des données bancaires dans le but de faciliter d’éventuels paiements ultérieurs à condition que les personnes auxquelles ces données se rapportent aient préalablement et explicitement exprimé leur consentement.

Une exception est prévue pour la souscription d’un abonnement donnant accès à des services additionnels pouvant être traduit comme l’inscription dans une relation commerciale régulière.

Quels sont les arguments soutenus ?

Cdiscount soulève notamment les arguments suivants :

  • L’adoption de la délibération litigieuse par la CNIL aurait modifié la lettre du Règlement Général sur la Protection des Données (RGPD), adopté par le règlement du 27 avril 2016.
  • La CNIL aurait assimilé à tort les données bancaires à des données sensibles au sens de l’article 9 du RGPD.
  • La conservation du numéro de carte bancaire du client ayant acheté en ligne est nécessaire aux fins d’intérêt légitime, permettant alors de faciliter les futurs achats en ligne.
  • Cette délibération est créatrice d’une distorsion de la concurrence au profit d’opérateurs étrangers.

Le Conseil d’Etat répond notamment que la conservation des données bancaires de certains clients des sites de commerce en ligne non abonnés dans le seul but de faciliter des achats ultérieurs n’est « nécessaire ni au respect d’une obligation légale, ni à l’exécution d’une mission d’intérêt public, ni à la sauvegarde des intérêts vitaux ».

Il conviendrait de prendre en compte la sensibilité des données bancaires et le préjudice susceptible de résulter de la captation et de l’utilisation détournée des données bancaires.

Claudia Weber, avocat fondateur et Céline Dogan, avocat,  ITLAW Avocats 

 

Besoin d’aide pour valider le parcours achat de votre site e-commerce ?

Vous vous questionnez sur votre mise en conformité RGPD ?

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets et leur conformité au RGPD.

[1] Conseil d’État, 10 décembre 2020, n° 429571

Nous contacter