Les droits des personnes.
1. L'obligation générale d'information :
Toute utilisation du numéro de carte de paiement, quelle qu'en soit la finalité, doit faire l'objet d'une information complète et claire auprès des personnes.
De manière générale, la personne concernée est informée de l'identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des informations à renseigner, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de la durée de conservation des catégories de données traitées, de l'existence et des modalités d'exercice de ses droits d'accès, de rectification et d'opposition au traitement de ses données, dont celui de définir des directives relatives au sort de ses données à caractère personnel après la mort et le cas échéant des transferts de données hors Union européenne.
Dans l'hypothèse où les données relatives à la personne ont été communiquées à un tiers par le commerçant, celui-ci doit informer ces tiers sans délai de l'exercice du droit d'opposition ou de rectification par la personne concernée.
Lorsque les données sont recueillies par voie de questionnaire, celui-ci doit porter mention de ces informations conformément au dernier alinéa de l'article 32 de la loi du 6 janvier 1978 modifiée.
2. L'information lors de la reconduction tacite de l'abonnement :
En ce qui concerne les contrats d'abonnement avec reconduction tacite, la commission rappelle que le responsable de traitement est tenu d'informer la personne concernée de la reconduction tacite de son contrat et, sauf opposition de sa part, de la conservation de ses coordonnées bancaires pour le paiement des échéances du nouveau contrat.
3. L'information lors de la conservation des données aux fins de faciliter des paiements ultérieurs :
Lorsque les données relatives à la carte sont conservées au-delà du temps strictement nécessaire à la réalisation de la transaction, pour simplifier un paiement ultérieur, la commission considère que ce traitement doit également avoir reçu le consentement libre, spécifique et informé de la personne concernée, conformément aux dispositions de l'article 7 de la loi du 6 janvier 1978 modifiée.
La commission estime, en effet, que ces données ne sont pas collectées pour permettre la réalisation d'un paiement mais pour offrir un service supplémentaire au client, en l'occurrence ne pas avoir à ressaisir son numéro de carte lors d'un prochain achat. Dès lors, ce traitement de données doit être effectué avec le consentement préalable de la personne concernée. Celui-ci ne se présume pas et doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher (non pré-cochée par défaut). L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes.
La commission recommande également que le responsable de traitement intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement donné pour la conservation des données de la carte afin de faciliter les achats ultérieurs.