Le Règlement général sur la protection des données dit RGPD précise que pour tout traitement, les données doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art. 5, § 4).
En matière d'utilisation de la carte bancaire lors d'une vente à distance, la CNIL a récemment eu l'occasion de rappeler que les données nécessaires au paiement (numéro de la carte, date de validité et cryptogramme) ne doivent pas être conservées au-delà de la transaction (Délibération de la CNIL n° 2018-303, 6 sept. 2018).
Pour autant, il existe des cas dans lesquels les données bancaires pourront être conservées par défaut, notamment pour faciliter les achats ultérieurs. Dans ce cas, le consentement des personnes doit être recueilli (case à cocher par exemple) et le commerçant doit leur fournir une information claire et complète et leur permettre d'exercer les droits qu'ils détiennent en vertu du RGPD, notamment la suppression de leurs données de carte bancaire.
sylvie.compper.avocat@orange.fr
tel : 05 94 25 38 94
Pas de contribution, soyez le premier