Comité euro­péen de la protec­tion des données, Recommendations 02/​2021 on the legal basis for the storage of credit card data for the sole purpose of faci­li­ta­ting further online tran­sac­tions, 19 mai 2021.

Dans une recom­man­da­tion du 19 mai 2021 (fondée sur l’art. 70 par. 1 let. e RGPD), le Comité euro­péen de la protec­tion des données (CEPD) se penche sur la léga­lité de la conser­va­tion des données de cartes de crédit dans le seul but de faci­li­ter les poten­tiels futurs achats.

À titre limi­naire, le CEPD justi­fie la publi­ca­tion de sa recom­man­da­tion en raison du déve­lop­pe­ment du commerce en ligne causé par la pandé­mie. En effet, l’aug­men­ta­tion de la conser­va­tion des données de cartes de crédit accroît le risque de vol de données et, par consé­quent, de fraudes.

Par ailleurs, le CEPD constate une pratique courante des commerces en ligne : lors­qu’un consom­ma­teur achète un bien en ligne, le vendeur aura tendance à enre­gis­trer les données de la carte de crédit utili­sée afin de faci­li­ter d’éven­tuels futurs achats. Or cette conser­va­tion des données doit néces­sai­re­ment repo­ser sur l’un des motifs justi­fi­ca­tifs mention­nés à l’art. 6 par. 1 RGPD. Le CEPD examine ainsi les poten­tiels motifs justi­fi­ca­tifs à cette conser­va­tion de données. Son analyse ne s’ap­plique toute­fois ni aux four­nis­seurs de services de paie­ment, ni aux auto­ri­tés publiques, ni lorsque le contrat prévoit des paie­ments récurrents.

Premièrement, le CEPD exclut que la conser­va­tion des données de cartes de crédit soit néces­saire « au respect d’une obli­ga­tion légale à laquelle le respon­sable du trai­te­ment est soumis » (art. 6 par. 1 let. c RGPD). En effet, le CEPD exclut expres­sé­ment du champ de son analyse les données qui sont préci­sé­ment recueillies à des fin de compliance.

Deuxièmement, le CEPD consi­dère que la conser­va­tion des données de cartse de crédit après le paie­ment ne peut pas être consi­dé­rée comme « néces­saire à l’exé­cu­tion » du contrat (art. 6 par. 1 let. b RGPD). En effet, l’en­re­gis­tre­ment de ces données peut unique­ment être consi­déré comme néces­saire pour la tran­sac­tion en ques­tion, mais non pour les poten­tielles tran­sac­tions subséquentes.

Troisièmement, le respon­sable du trai­te­ment pour­rait prétendre que la conser­va­tion de données de cartes de crédit est néces­saire pour ses inté­rêts légi­times (art. 6 par. 1 let. f RGPD).

Pour que cette condi­tion soit remplie, non seule­ment le respon­sable devrait béné­fi­cier d’un inté­rêt légi­time à conser­ver les données de cartes de crédit, mais en plus l’en­re­gis­tre­ment des données devrait être néces­saire pour atteindre cet inté­rêt légi­time. Or le CEPD consi­dère que d’éven­tuelles tran­sac­tions futures dépendent unique­ment du choix du consom­ma­teur. Par ailleurs, ces tran­sac­tions ne dépen­draient pas de la possi­bi­lité d’achat « en un clic » (one click shop­ping).

Enfin, pour que la condi­tion des « inté­rêts légi­times du respon­sable du trai­te­ment » soit remplie, il faut encore procé­der à une pesée des inté­rêts. Or le CEPD souligne que les données finan­cières sont de nature haute­ment person­nelle (highly perso­nal nature), car leur viola­tion peut mani­fes­te­ment avoir des consé­quences graves sur la vie quoti­dienne de la personne concer­née. Le fait que ces données soient conser­vées après la tran­sac­tion augmente logi­que­ment le risque d’un accès non auto­risé à ces données. Par ailleurs, la personne concer­née ne s’at­tend pas raison­na­ble­ment à ce que les données de sa carte de crédit soient conser­vées pendant une durée supé­rieure à celle néces­saire au paie­ment des biens ou des services qu’elle est en train d’acheter.

Par consé­quent, le respon­sable de trai­te­ment ne peut en prin­cipe pas invo­quer ses inté­rêts légi­times afin de conser­ver les données de cartes de crédit. Il ne peut donc que s’ap­puyer sur le consen­te­ment de la personne concer­née (art. 6 par. 1 let. a RGPD).

Afin que le consen­te­ment de la personne concer­née soit valable, celle-ci doit l’ex­pri­mer par une action affir­ma­tive et user-friendly, par exemple en cochant une case (et non avec une case préco­chée). Selon le CEPD, le consen­te­ment ne peut pas prove­nir des condi­tions géné­rales de vente et ne peut pas non plus consti­tuer une condi­tion à la conclu­sion du contrat.

Cette recom­man­da­tion risque d’avoir des consé­quences concrètes pour de nombreux commerces en ligne. Ceux-ci ont évidem­ment un fort inté­rêt commer­cial à faci­li­ter la conclu­sion défi­ni­tive de l’achat le plus rapi­de­ment possible, sans que le consom­ma­teur doive effec­tuer le moindre effort. Or il semble­rait que le fait de devoir donner à nouveau les infor­ma­tions de sa carte de crédit réduit la proba­bi­lité que le consom­ma­teur fina­lise son achat. Il est probable que de nombreux commerces en ligne doivent désor­mais modi­fier leur pratique, afin que le stockage des données de cartes de crédit soit licite au regard de cette nouvelle recommandation.

En droit suisse, la situa­tion nous semble diffé­rente. Le trai­te­ment de données person­nelles ne néces­site pas en soi un motif justi­fi­ca­tif. Seul le trai­te­ment qui porte atteinte à la person­na­lité d’une personne concer­née, notam­ment lorsque les prin­cipes géné­raux de la protec­tion des données ne sont pas respec­tés (art. 4 ss LPD ; art. 6 et 8 nLPD), requiert un motif justi­fi­ca­tif (art. 12 s. LPD ; art. 30 s. nLPD).

À notre avis, la conser­va­tion des données de cartes de crédit ne consti­tue pas per se une atteinte à la person­na­lité. Les commerces en ligne suisses n’ont dès lors pas besoin de justi­fier ce stockage de données, notam­ment en obte­nant le consen­te­ment de la personne concer­née. Ces données doivent néan­moins être proté­gées par des mesures tech­niques et orga­ni­sa­tion­nelles (art. 7 LPD et 8 nLPD ; cf. not. les mesures mention­nées par l’au­to­rité anglaise dans sa déci­sion contre Marriott : swiss​pri​vacy​.law/​68/)

Cela étant, vu l’ap­pli­ca­tion extra­ter­ri­to­riale du RGPD (art. 3 par. 2 RGPD), les commerces en ligne suisses auraient tout inté­rêt à s’ali­gner sur le droit euro­péen. Par ailleurs, vu que les données de cartes de crédit sont parti­cu­liè­re­ment visées par les hackers (cf. not. swiss​pri​vacy​.law/​19/), un éven­tuel vol de données pour­rait sérieu­se­ment atti­rer l’at­ten­tion des auto­ri­tés euro­péennes, même si l’e‑commerce se trouve en Suisse. Il pour­rait dès lors être perti­nent d’ob­te­nir le consen­te­ment des personnes concer­nées avant de garder les données de cartes de crédit, ou simple­ment d’aban­don­ner la pratique de « l’achat en un clic ».