Base légale du traitement.
La commission considère que la base légale du traitement des données bancaires peut varier en fonction de la finalité poursuivie par le traitement de données bancaires, de la nature de la transaction conclue et des modalités de son exécution, conformément à l'article 7 de la loi du 6 janvier 1978 modifiée.
La commission rappelle qu'il appartient au responsable de traitement de s'assurer des conditions de licéité de son traitement et, notamment de la base légale sur laquelle le fonder.
1. Le paiement unique :
La commission relève que le numéro de carte bancaire ne peut être collecté et traité que pour permettre la réalisation d'une transaction dans le cadre de l'exécution du contrat conclu par la personne concernée conformément à l'article 7 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée. Ainsi, en cas de contrat impliquant un paiement unique, la commission estime que les données n'ont donc pas vocation à être conservées au-delà du temps de transaction commerciale.
2. L'abonnement impliquant des paiements multiples :
La commission considère que, dans le cadre d'un contrat d'abonnement souscrit en ligne impliquant, de fait, des paiements successifs et réguliers, la conservation des données bancaires satisfait également à la condition prévue à l'article 7 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée.
3. Les solutions de paiement dédiées à la vente à distance :
En ce qui concerne le traitement des données bancaires dans le cadre de la souscription d'une solution de paiement dédiée à la vente à distance par des prestataires de services de paiement (cartes virtuelles, porte-cartes numérique - « wallets », comptes rechargeables, etc.), la commission estime que la communication des coordonnées bancaires entre également dans le cadre de l'exécution du contrat, celui-ci visant précisément à conserver les données relatives à la carte de paiement afin d'éviter aux consommateurs d'avoir à les saisir lors d'achats effectués à distance.
4. Le service commercial permettant de faciliter les éventuels paiements ultérieurs :
La commission estime que la conservation du numéro de la carte du client afin de faciliter ses éventuels paiements ultérieurs sur le site du commerçant va au-delà de l'exécution du contrat conclu.
Elle retient que cela constitue un service commercial indépendant de l'acte initial ayant conduit à la collecte des coordonnées bancaires et rappelle qu'un tel traitement nécessite que soit recueilli au préalable le consentement libre, spécifique et éclairé des personnes, en application de l'article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée.
5. La lutte contre la fraude à la carte de paiement :
S'agissant de la finalité de la lutte contre la fraude à la carte de paiement, la commission estime que la conservation des données relatives à la carte de paiement au-delà de la réalisation d'une transaction outrepasse également le cadre du contrat. Elle considère que ce traitement ne peut se faire que si cela participe de la réalisation d'un intérêt légitime du responsable de traitement et ce, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés des personnes en application de l'article 7 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée.
A cet égard, la commission rappelle qu'un traitement visant à utiliser des données relatives à la carte à des fins de lutte contre la fraude au paiement et, le cas échéant, conserver une trace de comportements frauduleux ayant généré des impayés lui ayant porté préjudice doit faire l'objet d'une demande d'autorisation sur le fondement des dispositions de l'article 25-I (4°) de la loi du 6 janvier 1978 modifiée. L'utilisation du numéro de carte pour cette finalité ne saurait aboutir à un refus de vente, même si elle peut conduire légitimement le commerçant à refuser ce mode de paiement.