Recommandation de la Cnil sur les données de cartes de paiement

données de cartes de paiement

La Cnil a mis à jour sa délibération de 2017 sur le traitement des données de cartes de paiement en cas d’opération à distance.

Le but de la mise à jour de cette recommandation est de prendre en compte les évolutions technologiques, ainsi que l’entrée en application du Règlement 2016/679 (ci-après « RGPD »).

Pour rappel, cette délibération (1) s’applique au traitement de données relatives à la carte de paiement lors des ventes à distance de produits ou de services.

Données de cartes de paiement : Quels sont les changements à prendre en compte par les e-commerçants ?

Evaluer si une analyse d’impact (« AIPD ») est requise

La Cnil rappelle que les données relatives à la carte de paiement sont des données à caractère « hautement personnel » (2).

Or, il s’agit de l’un des critères susceptibles de nécessiter la réalisation d’une analyse d’impact sur la vie privée (« AIPD ») selon le Comité européen de la protection des données.

De ce fait, les e-commerçants qui traitent ces données doivent réaliser une pré-analyse pour déterminer si une AIPD est requise.

A cette fin, ils peuvent solliciter, conformément à l’article 28, 3) du RGPD, l’aide de leur sous-traitant, auprès duquel la gestion du système de paiement est externalisée.

Possibilité de se fonder sur l’intérêt légitime pour conserver les données relatives à la carte de paiement lors de la souscription d’un abonnement avec des services additionnels

Désormais, l’e-commerçant qui propose un abonnement avec des services additionnels, peut conserver les coordonnées bancaires sur la base de son intérêt légitime.

En effet, selon la Cnil, le fait de souscrire un tel abonnement traduit l’intention de l’abonné de s’inscrire dans une relation commerciale régulière.

De ce fait, l’intérêt légitime peut constituer une base juridique pour ce traitement car l’abonné peut raisonnablement s’attendre à la conservation de ses données (3).

Sont concernés, notamment, les abonnements aux plateformes avec des services de livraison gratuite, assortis de prestations additionnelles comme un service de la livraison rapide.

L’e-commerçant peut conserver les données relatives à la carte de paiement si certaines conditions sont respectées :

  • la personne concernée doit avoir manifesté son intention de s’inscrire dans une relation commerciale régulière, intention qui ne peut être déduite de la simple création d’un compte client ;
  • l’abonné doit avoir été clairement informé de la conservation par défaut des données relatives à sa carte de paiement ;
  • il doit, en outre, être en mesure de s’opposer à la conservation de ses données au moment de la collecte (par une case à cocher par exemple) ;
  • les données relatives à la carte de paiement ne peuvent être conservées dans ce cadre que le temps nécessaire à l’accomplissement de la finalité.

A noter, cependant, que l’option permettant de faciliter les éventuels paiements ultérieurs nécessite toujours le recueil du consentement de la personne concernée, conformément à l’article 6 du RGPD.

Mise à jour des mentions d’information des clients

La Cnil recommande aux e-commerçants de modifier leurs mentions d’information pour les rendre conformes aux articles 13 et 14 du RGPD.

Par ailleurs, ces mentions d’information doivent présenter les nouveaux droits issus du RGPD (comme le droit à la portabilité). Il conviendra, en outre, en cas de reconduction tacite du contrat, de rappeler au client que ses données seront utilisées dans le cadre du nouveau contrat.

Nécessité de conclure un contrat conforme à l’article 28 du RGPD

Les e-commerçants externalisent généralement la gestion du système de paiement auprès d’un sous-traitant (ayant la qualité de prestataire de service de paiement).

Les e-commerçants devront donc procéder à la modification de leurs contrats d’acceptation avec ces prestataires pour les rendre conformes à l’article 28 du RGPD.

Obligation de notifier les violations de données à la personne concernée

La recommandation précise qu’en plus de la notification de violation qui doit être adressée à la Cnil, une seconde notification doit être faite à la personne dont les données ont fait l’objet d’une violation de sécurité afin qu’elle puisse prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de ses données (contestation de paiements frauduleux, mise en opposition de la carte, etc.). Il semblerait, dès lors, que, dans ce contexte, la Cnil considère qu’une violation portant sur de telles données comporte un risque élevé pour les personnes concernées.

Aurélie Banck
Alicia Béré
Département Conformité RGPD Banques et Assurances

(1) Délibération Cnil n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n°2017-222 du 20 juillet 2017.
(2) G29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, adoptée le 4 avril 2017, telles que modifiées et adoptées en dernier lieu le 4 octobre 2017, p.11.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), considérant 47.