Par Rachel Ruimy et Vickie Le Bert
Par l’intermédiaire de leurs sites ou applications, de nombreux e-commerçants proposent à leurs clients de mémoriser leurs données relatives aux cartes de crédit afin de faciliter leurs achats ultérieurs.
Cette pratique a récemment fait l’objet de recommandations formulées par le Comité Européen de la Protection des Données concernant la base juridique de ce traitement de données à caractère personnel.
Contexte
Au niveau national
Par une délibération du 6 septembre 2018, la CNIL avait fait connaître sa position sur la pratique consistant, pour les e-commerçants, à conserver les numéros de cartes bancaires de leurs clients afin de leur éviter de devoir les saisir à nouveau à l’occasion de leurs prochains achats.
Il avait ainsi été précisé que cette pratique nécessitait pour les e-commerçants de recueillir au préalable le consentement libre, spécifique, éclairé et univoque des acheteurs concernés, à l’exception des cas de souscription à un abonnement donnant accès à des services additionnels traduisant leur inscription dans une relation commerciale régulière.
Dans ce contexte, Cdiscount avait saisi la CNIL d’une demande de modification de ladite délibération afin d’autoriser la conservation des numéros de cartes bancaires pour les clients non abonnés mais dont la récurrence des achats laisse supposer qu’ils peuvent raisonnablement s’attendre à ce que leurs données bancaires soient conservées pour simplifier leurs achats ultérieurs. Compte tenu de la décision implicite de la CNIL rejetant sa demande, Cdiscount avait saisi le Conseil d’Etat.
Par une décision du 10 décembre 2020, le Conseil d’Etat a confirmé la position de la CNIL en retenant que, quand bien même la conservation du numéro de carte bancaire des clients ayant procédé à un achat en ligne est nécessaire aux fins de l’intérêt légitime consistant à faciliter leurs paiements ultérieurs, cet intérêt ne saurait prévaloir sur l’intérêt des clients à protéger leurs données.
Les nécessités d’une harmonisation européenne
Si en France le principe du recueil du consentement explicite de la personne concernée pour la conservation de ses numéros de cartes bancaires par des sites de commerce en ligne en vue de faciliter les achats ultérieurs est reconnu, le caractère transfrontalier des échanges et des transactions numériques s’est rapidement avéré problématique.
En effet, dans un contexte de crise sanitaire propice au développement de l’économie numérique et du commerce électronique, et faute d’harmonisation à l’échelle européenne, les risques liés à l’utilisation des données relatives aux cartes bancaires ont considérablement augmenté.
Le Groupe 29, dans ses lignes directrices sur l’analyse d’impact relative à la protection des données, rappelle en ce sens que les violations de données relatives aux cartes de crédit peuvent avoir des incidences graves sur la vie des personnes concernées, et ce notamment à raison du fort risque de détournement auquel sont confrontées les données financières.
Quelles sont les recommandations du CEPD ?
Ainsi, sous l’impulsion de la CNIL, le Comité Européen de la Protection des Données (CEPD) a expressément formulé le 19 mai dernier ses recommandations sur la base juridique pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter la poursuite des transactions en ligne.
En tant que responsable de traitement, le e-commerçant est tenu d’invoquer une base juridique valable au regard de l’article 6 du RGPD.
Le CEPD commence par expressément exclure les bases juridiques suivantes : le respect d’une obligation légale, la sauvegarde des intérêts vitaux d’une personne physique ainsi que l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Si la collecte des données bancaires est effectivement nécessaire à l’exécution d’un contrat, leur stockage n’est nécessaire que pour faciliter une éventuelle transaction future : c’est la raison pour laquelle cette base légale est également écartée.
Concernant l’intérêt légitime poursuivi par le e-commerçant, celui-ci doit être mis en balance avec les intérêts ou les droits et libertés fondamentaux de la personne concernée. Il est ainsi précisé par le CEPD que malgré la mise en œuvre des mesures techniques et organisationnelles nécessaires à garantir une sécurité appropriée des données, ce traitement peut comporter un risque accru de violation de la sécurité des données relatives aux cartes de crédit en ce qu’il implique un traitement dans d’autres systèmes. Par ailleurs, il est relevé que les personnes concernées ne s’attendent pas raisonnablement à ce que leurs données soient conservées plus longtemps que ce qui est nécessaire pour procéder au paiement en ligne.
Par conséquent, il est à nouveau affirmé que la seule base légale appropriée pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter la poursuite des transactions en ligne est le consentement, sous réserve qu’il soit libre, spécifique, éclairé et sans ambiguïté.
Les e-commerçants pourront ainsi prévoir sur le formulaire utilisé pour la collecte des données une case à cocher qui ne doit pas être cochée au préalable. Il est expressément précisé par le CEPD que ce consentement spécifique doit être distingué du consentement donné pour les conditions de vente et que cela ne doit pas être une condition à la réalisation de la transaction.
En tout état de cause, il est rappelé que le client pourra retirer son consentement à tout moment concernant le stockage de ses données bancaires.
***
Vous souhaitez vérifier la conformité de votre site internet ? Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner sur les aspects e-commerce de votre activité. Contactez nous ici.
