swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La conservation des données de cartes de crédit : est-ce licite ?

Célian Hirsch, le 18 juin 2021
La conser­va­tion de données de cartes de crédit par un commerce en ligne après une tran­sac­tion unique néces­site le consen­te­ment de la personne concer­née (art. 6 par. 1 let. a RGPD). En effet, les autres motifs justi­fi­ca­tifs prévus par l’art. 6 par. 1 RGPD ne peuvent pas s’appliquer dans une telle situation.

Comité euro­péen de la protec­tion des données, Recommendations 02/​2021 on the legal basis for the storage of credit card data for the sole purpose of faci­li­ta­ting further online tran­sac­tions, 19 mai 2021.

Dans une recom­man­da­tion du 19 mai 2021 (fondée sur l’art. 70 par. 1 let. e RGPD), le Comité euro­péen de la protec­tion des données (CEPD) se penche sur la léga­lité de la conser­va­tion des données de cartes de crédit dans le seul but de faci­li­ter les poten­tiels futurs achats.

À titre limi­naire, le CEPD justi­fie la publi­ca­tion de sa recom­man­da­tion en raison du déve­lop­pe­ment du commerce en ligne causé par la pandé­mie. En effet, l’aug­men­ta­tion de la conser­va­tion des données de cartes de crédit accroît le risque de vol de données et, par consé­quent, de fraudes.

Par ailleurs, le CEPD constate une pratique courante des commerces en ligne : lors­qu’un consom­ma­teur achète un bien en ligne, le vendeur aura tendance à enre­gis­trer les données de la carte de crédit utili­sée afin de faci­li­ter d’éven­tuels futurs achats. Or cette conser­va­tion des données doit néces­sai­re­ment repo­ser sur l’un des motifs justi­fi­ca­tifs mention­nés à l’art. 6 par. 1 RGPD. Le CEPD examine ainsi les poten­tiels motifs justi­fi­ca­tifs à cette conser­va­tion de données. Son analyse ne s’ap­plique toute­fois ni aux four­nis­seurs de services de paie­ment, ni aux auto­ri­tés publiques, ni lorsque le contrat prévoit des paie­ments récurrents.

Premièrement, le CEPD exclut que la conser­va­tion des données de cartes de crédit soit néces­saire « au respect d’une obli­ga­tion légale à laquelle le respon­sable du trai­te­ment est soumis » (art. 6 par. 1 let. c RGPD). En effet, le CEPD exclut expres­sé­ment du champ de son analyse les données qui sont préci­sé­ment recueillies à des fin de compliance.

Deuxièmement, le CEPD consi­dère que la conser­va­tion des données de cartse de crédit après le paie­ment ne peut pas être consi­dé­rée comme « néces­saire à l’exé­cu­tion » du contrat (art. 6 par. 1 let. b RGPD). En effet, l’en­re­gis­tre­ment de ces données peut unique­ment être consi­déré comme néces­saire pour la tran­sac­tion en ques­tion, mais non pour les poten­tielles tran­sac­tions subséquentes.

Troisièmement, le respon­sable du trai­te­ment pour­rait prétendre que la conser­va­tion de données de cartes de crédit est néces­saire pour ses inté­rêts légi­times (art. 6 par. 1 let. f RGPD).

Pour que cette condi­tion soit remplie, non seule­ment le respon­sable devrait béné­fi­cier d’un inté­rêt légi­time à conser­ver les données de cartes de crédit, mais en plus l’en­re­gis­tre­ment des données devrait être néces­saire pour atteindre cet inté­rêt légi­time. Or le CEPD consi­dère que d’éven­tuelles tran­sac­tions futures dépendent unique­ment du choix du consom­ma­teur. Par ailleurs, ces tran­sac­tions ne dépen­draient pas de la possi­bi­lité d’achat « en un clic » (one click shop­ping).

Enfin, pour que la condi­tion des « inté­rêts légi­times du respon­sable du trai­te­ment » soit remplie, il faut encore procé­der à une pesée des inté­rêts. Or le CEPD souligne que les données finan­cières sont de nature haute­ment person­nelle (highly perso­nal nature), car leur viola­tion peut mani­fes­te­ment avoir des consé­quences graves sur la vie quoti­dienne de la personne concer­née. Le fait que ces données soient conser­vées après la tran­sac­tion augmente logi­que­ment le risque d’un accès non auto­risé à ces données. Par ailleurs, la personne concer­née ne s’at­tend pas raison­na­ble­ment à ce que les données de sa carte de crédit soient conser­vées pendant une durée supé­rieure à celle néces­saire au paie­ment des biens ou des services qu’elle est en train d’acheter.

Par consé­quent, le respon­sable de trai­te­ment ne peut en prin­cipe pas invo­quer ses inté­rêts légi­times afin de conser­ver les données de cartes de crédit. Il ne peut donc que s’ap­puyer sur le consen­te­ment de la personne concer­née (art. 6 par. 1 let. a RGPD).

Afin que le consen­te­ment de la personne concer­née soit valable, celle-ci doit l’ex­pri­mer par une action affir­ma­tive et user-friendly, par exemple en cochant une case (et non avec une case préco­chée). Selon le CEPD, le consen­te­ment ne peut pas prove­nir des condi­tions géné­rales de vente et ne peut pas non plus consti­tuer une condi­tion à la conclu­sion du contrat.

Cette recom­man­da­tion risque d’avoir des consé­quences concrètes pour de nombreux commerces en ligne. Ceux-ci ont évidem­ment un fort inté­rêt commer­cial à faci­li­ter la conclu­sion défi­ni­tive de l’achat le plus rapi­de­ment possible, sans que le consom­ma­teur doive effec­tuer le moindre effort. Or il semble­rait que le fait de devoir donner à nouveau les infor­ma­tions de sa carte de crédit réduit la proba­bi­lité que le consom­ma­teur fina­lise son achat. Il est probable que de nombreux commerces en ligne doivent désor­mais modi­fier leur pratique, afin que le stockage des données de cartes de crédit soit licite au regard de cette nouvelle recommandation.

En droit suisse, la situa­tion nous semble diffé­rente. Le trai­te­ment de données person­nelles ne néces­site pas en soi un motif justi­fi­ca­tif. Seul le trai­te­ment qui porte atteinte à la person­na­lité d’une personne concer­née, notam­ment lorsque les prin­cipes géné­raux de la protec­tion des données ne sont pas respec­tés (art. 4 ss LPD ; art. 6 et 8 nLPD), requiert un motif justi­fi­ca­tif (art. 12 s. LPD ; art. 30 s. nLPD).

À notre avis, la conser­va­tion des données de cartes de crédit ne consti­tue pas per se une atteinte à la person­na­lité. Les commerces en ligne suisses n’ont dès lors pas besoin de justi­fier ce stockage de données, notam­ment en obte­nant le consen­te­ment de la personne concer­née. Ces données doivent néan­moins être proté­gées par des mesures tech­niques et orga­ni­sa­tion­nelles (art. 7 LPD et 8 nLPD ; cf. not. les mesures mention­nées par l’au­to­rité anglaise dans sa déci­sion contre Marriott : swiss​pri​vacy​.law/​68/)

Cela étant, vu l’ap­pli­ca­tion extra­ter­ri­to­riale du RGPD (art. 3 par. 2 RGPD), les commerces en ligne suisses auraient tout inté­rêt à s’ali­gner sur le droit euro­péen. Par ailleurs, vu que les données de cartes de crédit sont parti­cu­liè­re­ment visées par les hackers (cf. not. swiss​pri​vacy​.law/​19/), un éven­tuel vol de données pour­rait sérieu­se­ment atti­rer l’at­ten­tion des auto­ri­tés euro­péennes, même si l’e‑commerce se trouve en Suisse. Il pour­rait dès lors être perti­nent d’ob­te­nir le consen­te­ment des personnes concer­nées avant de garder les données de cartes de crédit, ou simple­ment d’aban­don­ner la pratique de « l’achat en un clic ».



Proposition de citation : Célian Hirsch, La conservation des données de cartes de crédit : est-ce licite ?, 18 juin 2021 in www.swissprivacy.law/80


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Destinataires ou catégories de destinataires ?
  • Les données de douze millions de consommateurs en libre accès
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law