Se connecter S’abonner

Un site ne peut pas conserver les numéros de carte bancaire de ses clients sans leur accord

Selon le Conseil d’État, l’enregistrement des numéros de cartes de paiement par les sites pour faciliter des achats ultérieurs doit reposer sur un accord explicite.

Crédit: iStock.

Une société de commerce en ligne demande à la Commission nationale de l’informatique et des libertés (Cnil) de modifier une de ses délibérations (no 2018-303, 6 septembre 2018) qui subordonne à l’accord exprès de ses clients la conservation de leurs coordonnées bancaires par les entreprises vendant des biens et des services à distance. Selon la société, ce consentement est superflu car l’enregistrement de ces données, en évitant aux consommateurs de les saisir à nouveau, facilite leurs achats ultérieurs. Elle invoque également son intérêt légitime, prévu par le règlement général sur la protection des données (RGPD) permettant de se passer de l’autorisation des personnes concernées. La Cnil maintient sa position. La société s’adresse au Conseil d’État pour faire annuler ce refus.

Les juges du Palais-Royal suivent la décision de la Cnil. Pour cette dernière, l’intérêt légitime des sociétés de commerce en ligne ne peut prévaloir sur celui des clients, compte tenu notamment de la sensibilité des informations bancaires et des préjudices pouvant résulter de la captation et d’une utilisation détournée. De plus, les consommateurs « ne peuvent s’attendre raisonnablement à une telle conservation sans leur consentement ». C’est pourquoi, selon le Conseil d’État, l’enregistrement des numéros de cartes de paiement par les sites pour faciliter des achats ultérieurs doit reposer sur un accord explicite.

Ce qu’il faut retenir

Les décisions de la Cnil relatives aux données personnelles des particuliers sont très protectrices. Pour la commission, elles ne peuvent être collectées et traitées par un site de ventes ou de services que pour permettre la réalisation d’une seule transaction dans le cadre d’un contrat unique. Leur conservation afin de simplifier d’éventuelles opérations à venir n’est donc possible que si « les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu’elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière ». Lors d’un achat, l’internaute doit donc se montrer prudent, les sites lui demandant presque systématiquement s’il veut garder ses informations pour de futures transactions. Au risque que ces renseignements soient récupérés en cas de piratage. Une situation plus fréquente qu’on ne le pense !

(Conseil d’État, 10 décembre 2020, n°429 571)