L’essentiel : La CNIL a affirmé que les cybermarchands, comme Cdiscount, ne peuvent conserver les numéros de cartes bancaires des clients non abonnés sans leur consentement explicite. Cette décision, issue de la délibération du 6 septembre 2018, souligne que la conservation de ces données n’est pas justifiée par des obligations légales ou des missions d’intérêt public. Cdiscount a tenté de défendre la nécessité de cette pratique pour faciliter les paiements, mais la CNIL a estimé que la protection des données sensibles des clients prime sur cet intérêt commercial, surtout pour ceux qui effectuent des achats ponctuels.

Sans le consentement explicite du consommateur, les cybermarchands ne sont pas en droit de conserver en mémoire, les numéros de cartes bancaires de leurs clients non abonnés pour faciliter leurs prochains achats.

Affaire Cdiscount

La société Cdiscount a contesté sans succès la délibération CNIL du 6 septembre 2018 écartant le droit pour les cybermarchands de conserver en mémoire, les numéros de cartes bancaires de leurs clients non abonnés.

Conservation disproportionnée

La conservation des numéros de cartes bancaires pour certains clients des sites de commerce en ligne non abonnés pour faciliter des achats ultérieurs n’est nécessaire ni au respect d’une obligation légale, ni à l’exécution d’une mission d’intérêt public, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne. S’agissant de l’exécution d’un contrat auquel la personne concernée est partie, la conservation du numéro de carte bancaire ne saurait se justifier une fois ce contrat exécuté.

Périmètre de la délibération du 6 septembre 2018

Pour rappel, par sa délibération du 6 septembre 2018, la CNIL a adopté une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. La CNIL a indiqué que ces données ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d’une transaction dans le cadre de l’exécution d’un contrat et que la conservation de ces données afin de faciliter d’éventuels paiements ultérieurs n’est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu’elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.

Principe de proportionnalité

Selon le Conseil d’Etat, il résulte clairement des dispositions de l’article 6 du RGDP, qu’un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu’il n’est nécessaire ni au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ni à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu’il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux.

Pour porter cette appréciation, il y a lieu de mettre en balance, d’une part, l’intérêt légitime poursuivi par le responsable du traitement et, d’autre part, l’intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu’aux attentes que ces personnes peuvent raisonnablement avoir quant à l’absence de traitement ultérieur des données collectées.

La société Cdiscount a fait valoir sans succès que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l’intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d’une fonctionnalité d’achat rapide – dite  » en un clic « .

Cet intérêt ne saurait prévaloir sur l’intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d’une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s’attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.

La circonstance alléguée que la délibération litigieuse aurait pour effet de créer une distorsion de concurrence au bénéfice d’opérateurs économiques étrangers relevant des régulateurs d’autres pays, ou n’étant soumis à aucune régulation, est, par elle-même, sans incidence sur sa légalité.

Q/R juridiques soulevées :

Quel est le principe de conservation des numéros de cartes bancaires selon la CNIL ?

La CNIL stipule que les cybermarchands ne peuvent conserver les numéros de cartes bancaires de leurs clients non abonnés sans leur consentement explicite. Cette règle vise à protéger les données personnelles des consommateurs et à garantir leur sécurité. La délibération du 6 septembre 2018 précise que la conservation de ces données n’est justifiée que si les clients ont donné leur accord préalable. Cela s’applique uniquement dans le cadre d’une relation commerciale régulière, comme un abonnement.

Quelles sont les implications de l’affaire Cdiscount ?

Cdiscount a contesté la décision de la CNIL, mais sa contestation a été rejetée. La société a soutenu que conserver les numéros de cartes bancaires faciliterait les paiements ultérieurs pour ses clients. Cependant, la CNIL a jugé que cet intérêt ne prévalait pas sur le droit des clients à la protection de leurs données. La décision souligne l’importance du consentement explicite dans le traitement des données personnelles.

Pourquoi la conservation des données est-elle considérée comme disproportionnée ?

La conservation des numéros de cartes bancaires pour des clients non abonnés est jugée disproportionnée car elle n’est pas nécessaire pour respecter une obligation légale ou pour l’exécution d’un contrat. Une fois le contrat exécuté, il n’y a pas de justification pour conserver ces données. Cela soulève des préoccupations quant à la sécurité des informations bancaires et aux risques d’utilisation abusive.

Quel est le cadre légal de la délibération du 6 septembre 2018 ?

La délibération de la CNIL s’inscrit dans le cadre du Règlement Général sur la Protection des Données (RGPD). Elle précise que les données de paiement ne peuvent être collectées que pour réaliser une transaction. La conservation de ces données pour des paiements futurs nécessite le consentement explicite des clients, sauf s’ils sont abonnés à des services supplémentaires. Cela vise à protéger les droits des consommateurs.

Comment le principe de proportionnalité est-il appliqué dans ce contexte ?

Le principe de proportionnalité, selon le Conseil d’État, exige que le traitement des données personnelles soit justifié par un intérêt légitime. Il doit être mis en balance avec les droits et libertés des personnes concernées. Dans le cas de Cdiscount, l’intérêt de faciliter les paiements n’a pas été jugé suffisant pour justifier la conservation des données sans consentement.

Quelles sont les conséquences de la décision de la CNIL pour les cybermarchands ?

La décision de la CNIL impose aux cybermarchands de respecter le consentement explicite des clients pour conserver leurs numéros de cartes bancaires. Cela pourrait influencer la manière dont les entreprises gèrent les données de paiement. Les entreprises doivent s’assurer qu’elles obtiennent le consentement approprié et qu’elles respectent les réglementations en matière de protection des données, sous peine de sanctions. Cela renforce la protection des consommateurs dans le domaine du commerce en ligne.