Ce sujet vous intéresse ?
Connectez-vous à votre compte et recevez une alerte par email dès qu'un article sera publié par la rédaction sur : Social, santé (aides et prestations, personne handicapée, aidants et médiateurs, patient, médicaments, etc.)
Votre abonnement a bien été pris en compte
Vous serez alerté(e) par email dès qu'un article sera publié par la rédaction sur : Consommation (assurance, gestion, épargne, crédit, tarifs, litiges, vente, etc.)
Vous pouvez à tout moment supprimer votre abonnement dans votre compte service public.fr .
Données personnelles
Sites en ligne : les numéros de carte bancaire ne peuvent être conservés qu'avec le consentement du client
Publié le 03 mai 2021 - Direction de l'information légale et administrative (Premier ministre)
De façon générale, les sociétés de commerce en ligne doivent avoir recueilli le consentement du client pour conserver son numéro de carte bancaire en vue de ses achats ultérieurs. C'est ce que vient de confirmer le Conseil d' État, suivant la position de la CNIL (Commission nationale de l'informatique et des libertés), dans son arrêt du 10 décembre 2020.
Selon une recommandation de la CNIL relative à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, les commerçants doivent recueillir le consentement de leurs clients pour conserver leurs données bancaires au-delà d'une transaction, pour faciliter leurs achats ultérieurs. Seule la souscription à un abonnement dispense de cette obligation car elle inscrit le client dans une relation commerciale régulière.
Une société de commerce en ligne demande à la CNIL de modifier sa délibération afin de pouvoir conserver les numéros de carte bancaire de ses clients non abonnés au-delà de la transaction pour laquelle les données ont été recueillies. Selon cette société, cette conservation permettrait de faciliter leurs achats ultérieurs en les dispensant de saisir ce numéro à nouveau. Pour justifier cette conservation, cette société se fonde sur son intérêt légitime, prévue par le règlement général sur la protection des données (RGPD) permettant de se passer du consentement de la personne concernée.
Pour apprécier cet intérêt légitime, la CNIL met en balance l'intérêt légitime poursuivi par la société concernée et l'intérêt ou les libertés et droits fondamentaux des personnes concernées. Pour cela, elle tient compte de la nature des données traitées, de la finalité et des modalités du traitement, mais aussi des attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.
Dans cette affaire, pour la CNIL, l'intérêt légitime de cette société ne peut prévaloir sur l'intérêt des clients de protéger leurs données, compte tenu notamment de la sensibilité des informations bancaires et des préjudices pouvant résulter d'une utilisation détournée de ces données. Par ailleurs, les clients ne peuvent raisonnablement s'attendre à une telle conservation sans leur consentement.
La société commerciale demande donc au Conseil d'État d'annuler la décision de refus de la CNIL.
Le Conseil d'État suit la position de la CNIL en écartant le motif de l'intérêt légitime comme base légale au titre du RGPD. Selon le Conseil d'État, la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs doit reposer sur le consentement explicite du client.
Agenda
Du 15 oct. 2024 au 31 janv. 2025
Prévention
Publié le 30 octobre 2024
À partir du 1 nov. 2024
Sevrage tabagique
Publié le 15 octobre 2024