L’essentiel : Les cybermarchands doivent supprimer les données des cartes bancaires après chaque transaction. Toutefois, ces données peuvent être conservées jusqu’à 13 mois pour des raisons de preuve en cas de contestation, avec une possibilité d’extension à 15 mois pour les cartes à débit différé. Un consentement explicite du client est requis pour conserver ces données plus longtemps, par exemple pour faciliter les paiements récurrents. En revanche, les informations relatives au cryptogramme visuel ne doivent jamais être stockées, et les données doivent être effacées dès l’expiration de la carte.

Données personnelles et cartes bancaires

Les cybermarchands (même si le plus souvent ces derniers ne gèrent pas directement leur solution de paiement), ont l’obligation de supprimer les données relatives aux cartes bancaires de leur serveur / base, une fois la transaction réalisée, c’est-à-dire dès son paiement effectif.

Par exception, les données bancaires peuvent être conservées pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l’article L 133-24 du code monétaire et financier (13 mois suivant la date de débit). Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé.

Les données de cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement des clients réguliers par exemple). Ce consentement peut être recueilli par l’intermédiaire d’une case à cocher (mais non pré-cochée par défaut), par exemple et ne peut résulter de l’acceptation de conditions générales.

Quid du cryptogramme ?

Les données relatives au cryptogramme visuel ne doivent pas être stockées. Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées.

Q/R juridiques soulevées :

Quelles sont les obligations des cybermarchands concernant les données de cartes bancaires ?

Les cybermarchands ont l’obligation de supprimer les données relatives aux cartes bancaires de leurs serveurs ou bases de données dès que la transaction est réalisée, c’est-à-dire après le paiement effectif.

Cette obligation vise à protéger les données personnelles des clients et à réduire les risques de fraude.

Cependant, il existe des exceptions à cette règle. Les données bancaires peuvent être conservées pour une durée limitée, spécifiquement pour des raisons de preuve en cas de contestation de la transaction.

Cette conservation est encadrée par l’article L 133-24 du code monétaire et financier, qui stipule que les données peuvent être archivées pendant 13 mois suivant la date de débit.

Il est également possible d’étendre ce délai à 15 mois pour tenir compte des cartes de paiement à débit différé.

Dans quelles conditions les données de cartes bancaires peuvent-elles être conservées plus longtemps ?

Les données de cartes bancaires peuvent être conservées au-delà de la période standard de 13 mois si le cybermarchand obtient le consentement exprès du client.

Ce consentement doit être donné de manière éclairée, c’est-à-dire que le client doit être informé de l’objectif de cette conservation, comme par exemple faciliter le paiement pour les clients réguliers.

Le recueil de ce consentement peut se faire par le biais d’une case à cocher, qui ne doit pas être pré-cochée par défaut.

Il est important de noter que l’acceptation des conditions générales ne constitue pas un consentement valide pour la conservation des données bancaires.

Quelles sont les règles concernant le cryptogramme visuel des cartes bancaires ?

Les données relatives au cryptogramme visuel, qui est le code à trois chiffres au dos de la carte bancaire, ne doivent pas être stockées par les cybermarchands.

Cette règle vise à renforcer la sécurité des transactions en ligne et à protéger les informations sensibles des clients.

De plus, lorsque la date d’expiration de la carte bancaire est atteinte, toutes les données relatives à cette carte, y compris le cryptogramme, doivent être supprimées.

Cela garantit que les informations obsolètes ne restent pas accessibles et réduit le risque d’utilisation frauduleuse des données.