Sur la durée de conservation des données.
La commission rappelle qu'en application de l'article 6 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée les données doivent être conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Elle rappelle à cet égard que la conservation du cryptogramme après la réalisation de la première transaction est interdite, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.
1. Les paiements uniques et abonnements :
La commission précise que :
- s'agissant de paiements uniques (achats ponctuels ou abonnement sans tacite reconduction, réglé en une seule fois), la durée de conservation des données relatives à la carte doit correspondre au délai nécessaire à la réalisation de la transaction, c'est-à-dire au paiement effectif qui peut être différé à la réception du bien ou à l'exécution de la prestation de service, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance (article L. 121-20-12 du code de la consommation) ;
- en ce qui concerne les abonnements impliquant des paiements échelonnés, la conservation de ses données bancaires est justifiée :
- jusqu'à la dernière échéance de paiement, si l'abonnement ne prévoit pas de tacite reconduction ;
- jusqu'à résiliation de l'abonnement en cas de renouvellement par tacite reconduction, sous réserve des dispositions applicables et notamment de l'information des personnes concernées avant le renouvellement.
2. La gestion des réclamations :
S'agissant des commerçants en ligne, le risque financier d'une utilisation non autorisée pesant in fine sur ces derniers dans le cas où ils n'ont pas mis en œuvre un système d'authentification de leurs clients, la commission estime qu'ils peuvent conserver le numéro de carte et la date de validité de celle-ci dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement. Les données peuvent être conservées pour la durée prévue par l'article L. 133-24 du code monétaire et financier, en l'occurrence 13 mois suivant la date de débit. Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d'utilisation de cartes de paiement à débit différé.
Les données ainsi conservées à des fins de preuve doivent être versées en archives intermédiaires et utilisées uniquement en cas de contestation de la transaction. Les numéros de carte de paiement conservés à cette fin doivent faire l'objet de mesures de sécurité techniques, telles que décrites à l'article 6 de la présente recommandation, visant à prévenir toute réutilisation illégitime.
3. La lutte contre le blanchiment :
Dans les cas où les données relatives à la carte seraient collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu'à la clôture du compte puis, le cas échéant, archivées conformément aux obligations légales en la matière.
4. Autres finalités :
Dans les cas où le numéro de la carte serait utilisé à d'autres fins, telles que la constitution d'un compte client visant à faciliter les achats ultérieurs ou la lutte contre la fraude, sa durée de conservation ne saurait excéder la durée nécessaire à l'accomplissement de cette finalité.