Conservation du numéro de CB : CDiscount c/ CNIL

Sans le consentement explicite du consommateur, les cybermarchands ne sont pas en droit de conserver en mémoire, les numéros de cartes bancaires de leurs clients non abonnés pour faciliter leurs prochains achats.

Affaire Cdiscount

La société Cdiscount a contesté sans succès la délibération CNIL du 6 septembre 2018 écartant le droit pour les cybermarchands de conserver en mémoire, les numéros de cartes bancaires de leurs clients non abonnés.

Conservation disproportionnée

La conservation des numéros de cartes bancaires pour certains clients des sites de commerce en ligne non abonnés pour faciliter des achats ultérieurs n'est nécessaire ni au respect d'une obligation légale, ni à l'exécution d'une mission d'intérêt public, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne. S'agissant de l'exécution d'un contrat auquel la personne concernée est partie, la conservation du numéro de carte bancaire ne saurait se justifier une fois ce contrat exécuté.

Périmètre de la délibération du 6 septembre 2018

Pour rappel, par sa délibération du 6 septembre 2018, la CNIL a adopté une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. La CNIL a indiqué que ces données ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.

Principe de proportionnalité

Selon le Conseil d’Etat, il résulte clairement des dispositions de l'article 6 du RGDP, qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux.

Pour porter cette appréciation, il y a lieu de mettre en balance, d'une part, l'intérêt légitime poursuivi par le responsable du traitement et, d'autre part, l'intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu'aux attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.

La société Cdiscount a fait valoir sans succès que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic ".

Cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.

La circonstance alléguée que la délibération litigieuse aurait pour effet de créer une distorsion de concurrence au bénéfice d'opérateurs économiques étrangers relevant des régulateurs d'autres pays, ou n'étant soumis à aucune régulation, est, par elle-même, sans incidence sur sa légalité.