Données relatives à la carte bancaire : quelle protection?

Dans sa délibération n° 2017-222 adoptée le 20 juillet 2017, la CNIL présente un certain nombre de recommandations concernant les traitements des données personnelles relatives à la carte de paiement en matière de vente de bien ou de service. La collecte et le traitement des données relatives à une carte de paiement peut concerner des finalités, durée de conservation et bases légales décrits dans le tableau suivant:

Finalité poursuivie                       


Durée de conservation des données relatives à la carte bancaire

Base légale du traitement

Réalisation d’une transaction en ligne liée à une offre d’un bien et d’un service

Durée de conservation nécessaire à la réalisation de la transaction* commerciale (en cas de paiement unique)

Exécution du contrat

Règlement d’abonnements souscris en ligne impliquant des paiements définis, successifs et réguliers

Durée de conservation jusqu’à la dernière échéance de paiement ou jusqu’à résiliation de l’abonnement en cas de renouvellement par tacite reconduction.

Exécution du contrat

Faciliter des éventuels achats ultérieurs en ligne

Durée de conservation allant au-delà de l’exécution du contrat nécessaire à la réalisation de la finalité.

Consentement de l’utilisateur

Offre de solutions de paiement à distance par des prestataires de services de paiement

Durée de conservation nécessaire à l’exécution du contrat

Consentement de l’utilisateur

Lutte contre la fraude à la carte bancaire (carte virtuelle, wallet)

Durée de conservation au-delà de la réalisation de la transaction nécessaire à l’accomplissement de la finalité

Intérêt légitime du responsable du traitement. Ce traitement doit faire l’objet d’une demande d’autorisation auprès de la CNIL.

Lutte conte le blanchiment de capitaux

Durée jusqu’à la clôture du compte, le cas échéant archivées conformément aux obligations légales en la matière (conservation des données en mode d’archivage intermédiaire)

Obligation légale

Gestion des réclamations

13 mois suivant la date de débit (article L.133-24 du code monétaire et financier). Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d’utilisation de la carte de paiement à débit différé (conservation des données en mode d’archivage intermédiaire).

Intérêt légitime de responsable du traitement

Données personnelles collectées dans la cadre du traitement des données relatives à la carte de paiement:

  • Numéro de la carte de paiement;
  • date d’expiration de la carte de paiement;
  • identité du titulaire de la carte de paiement : uniquement collectée et traitée dans le cadre de la lutte contre la fraude à la carte bancaire.
  • cryptogramme visuel (numéro composé de tros chiffres au dos de al carte). La conservation du cryptogramme est interdite après la réalisation de la première transaction.

*La réalisation de la transaction, c’est dire au paiement effectif qui peut être différé à la réception du bien ou à l’exécution de service augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de services.

DPOINFO-AVOCATS (DIA) vous conseille pour toute question en matière de conformité des données relatives à la carte bancaire aux règles applicables en matière de protection des données.

Pour un devis ou pour toute autre question :

contact@dpoinfo-avocats.fr