Finalités du traitement.
La protection des données personnelles et, par là même, de la vie privée doit être envisagée comme la capacité de l'individu à maîtriser la collecte, l'enregistrement et l'utilisation des données à caractère personnel qu'il est tenu de communiquer dans le cadre d'un paiement.
La finalité première de l'utilisation d'un numéro de carte de paiement est la réalisation d'une transaction, c'est-à-dire la délivrance d'un bien ou la prestation d'un service en contrepartie du complet paiement d'un prix.
La collecte des données relatives à une carte de paiement remplit toutefois d'autres finalités liées à la particularité des opérations à distance :
― la réservation d'un bien ou d'un service ;
― la conservation du numéro de la carte du client afin de faciliter ses éventuels achats ultérieurs sur le site du commerçant ;
― l'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement (cartes virtuelles, « wallets », comptes rechargeables, etc.). Ces solutions visent à éviter aux consommateurs de saisir les données relatives à leur carte lors d'achats effectués à distance ;
― la lutte contre la fraude à la carte de paiement.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Toutefois, la conservation des données relatives à la carte au-delà de la réalisation d'une transaction ne peut se faire qu'avec le consentement préalable de la personne concernée ou poursuivre l'intérêt légitime du responsable de traitement en ce qui concerne la lutte contre la fraude au paiement en ligne afin de ne pas méconnaître l'intérêt ou les droits et libertés des personnes, conformément à l'article 7 de la loi du 6 janvier 1978 modifiée.
En outre, compte tenu de la sensibilité de cette donnée, le numéro de la carte de paiement ne peut être utilisé comme identifiant commercial.
La commission considère que la responsabilité du traitement visant à conserver le numéro de la carte du client afin de faciliter ses éventuels achats ultérieurs sur un site marchand incombe en principe au commerçant bénéficiant du stockage des données relatives à la carte, c'est-à-dire à celui au bénéfice duquel les transactions réalisées avec les données stockées seront opérées. Les prestataires qui réalisent le stockage des données relatives à la carte pour le compte du commerçant ont la qualité de sous-traitant et sont tenus à la mise en place de mesures de sécurité adaptées.
Lorsqu'un responsable de traitement souhaite utiliser des données relatives à la carte à des fins de lutte contre la fraude au paiement et, le cas échéant, conserver une trace de comportements frauduleux ayant généré des impayés lui ayant porté préjudice, la commission rappelle que ce traitement doit faire l'objet d'une demande d'autorisation sur le fondement des dispositions de l'article 25-I (4°) de la loi du 6 janvier 1978 modifiée. L'utilisation du numéro de carte pour cette finalité ne saurait aboutir à un refus de vente, même si elle peut conduire légitimement le commerçant à refuser ce mode de paiement.