Protection des données relatives à la carte bancaire

Protection des données relatives à la carte bancaire

Dans sa délibération n° 2017-222 adoptée le 20 juillet 2017, la CNIL présente un certain nombre de recommandations concernant les traitements des données personnelles relatives à la carte de paiement en matière de vente de bien ou de service. La collecte et le traitement des données relatives à une carte de paiement peut concerner des finalités, durée de conservation et bases légales décrits dans le tableau suivant:

Finalité poursuivie                       

Durée de conservation des données relatives à la carte bancaire
Base légale du traitement
Réalisation d’une transaction en ligne liée à une offre d’un bien et d’un service Durée de conservation nécessaire à la réalisation de la transaction* commerciale (en cas de paiement unique)Exécution du contrat
Règlement d’abonnements souscris en ligne impliquant des paiements définis, successifs et réguliers Durée de conservation jusqu’à la dernière échéance de paiement ou jusqu’à résiliation de l’abonnement en cas de renouvellement par tacite reconduction.Exécution du contrat
Faciliter des éventuels achats ultérieurs en ligne Durée de conservation allant au-delà de l’exécution du contrat nécessaire à la réalisation de la finalité.Consentement de l’utilisateur
Offre de solutions de paiement à distance par des prestataires de services de paiement Durée de conservation nécessaire à l’exécution du contrat Consentement de l’utilisateur
Lutte contre la fraude à la carte bancaire (carte virtuelle, wallet) Durée de conservation au-delà de la réalisation de la transaction nécessaire à l’accomplissement de la finalitéIntérêt légitime du responsable du traitement. Ce traitement doit faire l’objet d’une demande d’autorisation auprès de la CNIL.
Lutte conte le blanchiment de capitauxDurée jusqu’à la clôture du compte, le cas échéant archivées conformément aux obligations légales en la matière (conservation des données en mode d’archivage intermédiaire)Obligation légale
Gestion des réclamations13 mois suivant la date de débit (article L.133-24 du code monétaire et financier). Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d’utilisation de la carte de paiement à débit différé (conservation des données en mode d’archivage intermédiaire). Intérêt légitime de responsable du traitement

Données personnelles collectées dans la cadre du traitement des données relatives à la carte de paiement:

  • Numéro de la carte de paiement;
  • date d’expiration de la carte de paiement;
  • identité du titulaire de la carte de paiement : uniquement collectée et traitée dans le cadre de la lutte contre la fraude à la carte bancaire.
  • cryptogramme visuel (numéro composé de tros chiffres au dos de al carte). La conservation du cryptogramme est interdite après la réalisation de la première transaction.

*La réalisation de la transaction, c’est dire au paiement effectif qui peut être différé à la réception du bien ou à l’exécution de service augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de services.

À propos de l’auteur

DPOINFO administrator

DPOINFO-AVOCATS: CONSEIL, FORMATION, ACCOMPAGNEMENT | des "Sociétés" | des "Startups" | des "LegalTech" | des "PrivacyTech" | en PROTECTION des DONNEES, en PROPRIETE INDUSTRIELLE, en CYBERSECURITY, en CONTRATS INFORMATIQUES, en PROCEDURE JUDICIAIRE ou ADMINISTRATIVE MAIS AUSSI |des "Professionnels du monde juridique" (Avocats, Directions juridiques, Notaires, etc.) | en TRANSFORMATION NUMERIQUE!

Laisser un commentaire