La Cnil a mis à jour sa délibération de 2017 sur le traitement des données de cartes de paiement en cas d’opération à distance. Le but de la mise à jour de cette recommandation est de prendre en compte les évolutions technologiques, ainsi que l’entrée en application du Règlement 2016/679 (ci-après « RGPD »).
Pour rappel, cette délibération (1) s’applique au traitement de données relatives à la carte de paiement lors des ventes à distance de produits ou de services.
Données de cartes de paiement : Quels sont les changements à prendre en compte par les e-commerçants ?
La Cnil recommande une analyse d’impact (« AIPD »).
Elle rappelle le statut de données à caractère « hautement personnel » des données relatives à la carte de paiement (2).
Or, il s’agit de l’un des critères susceptibles de nécessiter la réalisation d’une analyse d’impact sur la vie privée (« AIPD ») selon le Comité européen de la protection des données.
De ce fait, les e-commerçants qui traitent ces données doivent réaliser une pré-analyse pour déterminer la nécessité d’une AIPD.
A cette fin, ils peuvent solliciter, conformément à l’article 28, 3) du RGPD, l’aide de leur sous-traitant, auprès duquel la gestion du système de paiement est externalisée.
Possibilité de se fonder sur l’intérêt légitime pour conserver les données relatives à la carte de paiement lors de la souscription d’un abonnement avec des services additionnels
Désormais, l’e-commerçant qui propose un abonnement avec des services additionnels, peut conserver les coordonnées bancaires sur la base de son intérêt légitime.
En effet, selon la Cnil, le fait de souscrire un tel abonnement traduit l’intention de l’abonné de s’inscrire dans une relation commerciale régulière.
De ce fait, l’intérêt légitime peut constituer une base juridique pour ce traitement car l’abonné peut raisonnablement s’attendre à la conservation de ses données (3).
Cela vise notamment, les abonnements aux plateformes avec des services de livraison gratuite, assortis de prestations additionnelles comme un service de la livraison rapide.
L’e-commerçant peut conserver les données relatives à la carte de paiement s’il respecte certaines conditions :
- la personne concernée doit avoir manifesté son intention de s’inscrire dans une relation commerciale régulière. Elle ne se déduit pas de la simple création d’un compte client ;
- l’information claire de l’abonné sur la conservation par défaut des données relatives à sa carte de paiement ;
- il doit, en outre, être en mesure de s’opposer à la conservation de ses données au moment de la collecte (par une case à cocher par exemple) ;
- la conservation des données relatives à la carte de paiement ne se fait que durant le temps nécessaire à l’accomplissement de la finalité.
A noter, cependant, que l’option permettant de faciliter les éventuels paiements ultérieurs nécessite toujours le recueil du consentement de la personne.
Mise à jour des mentions d’information des clients
La Cnil recommande aux e-commerçants de modifier leurs mentions d’information pour les rendre conformes aux articles 13 et 14 du RGPD.
Par ailleurs, ces mentions d’information doivent présenter les nouveaux droits issus du RGPD (comme le droit à la portabilité). Il conviendra, en outre, en cas de reconduction tacite du contrat, de rappeler au client l’utilisation de ses données dans le cadre du nouveau contrat.
Nécessité de conclure un contrat conforme à l’article 28 du RGPD
Les e-commerçants externalisent généralement la gestion du système de paiement auprès d’un sous-traitant (ayant la qualité de prestataire de service de paiement).
Les e-commerçants devront donc procéder à la modification de leurs contrats d’acceptation avec ces prestataires pour les rendre conformes à l’article 28 du RGPD.
Obligation de notifier les violations de données à la personne concernée
La recommandation précise qu’en plus de la notification de violation adressée à la Cnil, il faut faire une seconde notification à la personne concernée. Elle pourra ainsi prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de ses données :
- contestation de paiements frauduleux,
- mise en opposition de la carte, etc.
Il semblerait, dès lors, que, dans ce contexte, la Cnil considère qu’une violation portant sur de telles données comporte un risque élevé pour les personnes concernées.
Aurélie Banck
Alicia Béré
Département Conformité RGPD Banques et Assurances
(1) Délibération Cnil n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n°2017-222 du 20 juillet 2017.
(2) G29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, adoptée le 4 avril 2017, telles que modifiées et adoptées en dernier lieu le 4 octobre 2017, p.11.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), considérant 47.