Contexte

La pandémie de COVID-19 a bouleversé l’économie numérique et le commerce électronique. Le e-commerce représente désormais plus de 100 milliards d’euros et touche plus de 40 millions de Français. En 2020, la Fédération du e-commerce et de la vente à distance (FEVAD) comptabilise plus de 200 000 sites, ayant enregistrés au total près de 2 milliards de transactions.

Or les autorités Européenne de contrôle de l’application du RGPD considère que les violations de données relatives aux cartes de crédit pouvant donner lieu à des paiements frauduleux ont une incidence grave dans la vie des personnes concernées. Le développement du commerce électronique a considérablement accru les risques liés à l’utilisation des données bancaires. La collecte et la conservation de ces données personnelles nécessite donc une vigilance renforcée.

Souhaitant améliorer leur parcours-client, de nombreux e-commerçants se sont récemment intéressés aux facilités de paiement. Certains ont ainsi commencé à stocker les données bancaires de leurs clients afin de leur permettre de payer leurs futurs achats « en un clic ».

La position du CEPD

Soumise aux principes du RGPD, cette pratique nécessite un encadrement spécifique. C’est ainsi que le Comité européen à la protection des données (CEPD) s’est emparé du sujet en adoptant une recommandation relative à « la base juridique pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter la poursuite des transactions en ligne ».

Le Comité européen écarte comme base légale l’exécution du contrat car si la carte de crédit est nécessaire pour effectuer un paiement et donc exécuter le contrat, il n’en est rien pour un potentiel achat ultérieur. Aucun lien contractuel ne peut être établi entre le premier et le second achat.

De même le Comité considère que le stockage des données de carte de crédit n’est pas nécessaire à la poursuite de l’intérêt légitime du e-commerçant. D’après l’autorité européenne, le choix du consommateur de réaliser un autre achat n’est probablement pas déterminé par la possibilité de le faire « en un clic ». Lors de l’achat, le consommateur ne s’attend pas raisonnablement à ce que ses données de paiement soient conservées plus longtemps que nécessaire.

En conclusion, seul le consentement pourrait permettre le stockage des données de paiement afin de faciliter un achat ultérieur. Le consentement obtenu avant le premier achat permettrait ainsi d’attester de la volonté du consommateur de recourir à cette facilité de paiement.

Attention, ce consentement est soumis à plusieurs exigences :

  • Pour être valide il doit être libre, spécifique, éclairé et sans ambiguïté.
  • Une action affirmative, par le biais d’une case à cocher par exemple, est nécessaire pour prouver ce consentement.
  • Le consommateur doit pouvoir le retirer à tout moment. Ce retrait doit être libre, simple et aussi facile à effectuer que lorsqu’il a donné son consentement initial. S’il exerce ce retrait, les données personnelles doivent alors être supprimées.

A retenir

Mettre en place un tel dispositif nécessite des modifications du registre des activités de traitement et potentiellement la mise en place d’une analyse d’impact relative à la protection des données (AIPD).