La conservation des données bancaires lors d'un achat en ligne - FamilyZen

Posted 3 avril 2019

Qui ne s’est pas interrogé avant d’effectuer un achat en ligne même sur un site sécurisé, ce qu’il advenait de ses coordonnées bancaires ?

Le Règlement Général de la Protection des données RGPD précise que pour tout traitement, les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art. 5, § 4).

En matière d’utilisation de la carte bancaire lors d’une vente à distance, la CNIL a récemment eu l’occasion de rappeler que les données nécessaires au paiement (numéro de la carte, date de validité et cryptogramme) ne doivent pas être conservées au-delà de la transaction (Délib CNIL n° 2018-303, 6 sept. 2018).

Cependant, il faut savoir que dans certains cas les données bancaires pourront être conservées par défaut, notamment pour faciliter les achats ultérieurs. Le consentement des personnes doit alors être recueilli (case à cocher par exemple), le commerçant devra alors fournir une information claire et complète et permettre à l’acheteur d’exercer les droits qu’il détient en vertu du RGPD, comme, notamment, la suppression de ses données de carte bancaire.

La CNIL a identifié plusieurs finalités de traitement en fonction desquelles la durée de conservation des données varie :

Pour les achats ponctuels, les données sont conservées pendant le délai nécessaire à la réalisation de la transaction, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance ;
Pour les paiements échelonnés, la conservation de ses données bancaires est justifiée :
- jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction ;
- jusqu’à résiliation de l’abonnement en cas de renouvellement par tacite reconduction ;
Pour la gestion des réclamations, le numéro de carte et la date de validité peuvent être conservées 13 mois suivant la date de débit (jusqu’à 15 mois pour les cartes de paiement à débit différé) ;
Si les données sont collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu’à la clôture du compte ;
Si le numéro de la carte est utilisé à d’autres fins (simple option visant à faciliter les achats ultérieurs, abonnement donnant accès à des services additionnels ou traitement de lutte contre la fraude), sa durée de conservation ne saurait excéder la durée nécessaire à l’accomplissement de cette finalité.

Auteur : Laurence Chatellier, intervenante à Rennes

Source Editions Législatives

achat en ligne, carte bancaire, coordonnées bancaires, RGPD

L’agenda papier fait de la résistance

Comment bénéficier du crédit d’impôt instantané ?

Leur phobie administrative leur gâche la vie