Base légale du traitement.
La Commission considère que la base légale du traitement des données bancaires peut varier en fonction de la finalité poursuivie, de la nature de la transaction conclue et des modalités de son exécution, conformément à l'article 6 du RGPD.
La Commission rappelle qu'il appartient au responsable de traitement de s'assurer des conditions de licéité de son traitement et, notamment, de la base légale sur laquelle le fonder.
2.1. Le paiement unique :
La Commission relève que le numéro de carte bancaire ne peut être collecté et traité que pour permettre la réalisation d'une transaction dans le cadre de l'exécution du contrat conclu par la personne concernée conformément à l'article 6-1-b du RGPD (exécution contractuelle). Ainsi, en cas de contrat impliquant un paiement unique, la Commission estime que les données n'ont donc pas vocation à être conservées au-delà du temps de transaction commerciale.
2.2. L'abonnement impliquant des paiements multiples :
La Commission considère que dans le cadre d'un contrat d'abonnement souscrit en ligne impliquant, de fait, des paiements successifs et réguliers, la conservation des données bancaires satisfait également à la condition prévue à l'article 6-1-b du RGPD (exécution contractuelle).
2.3. Les solutions de paiement dédiées à la vente à distance :
En ce qui concerne le traitement des données bancaires dans le cadre de la souscription d'une solution de paiement dédiée à la vente à distance par des prestataires de services de paiement (cartes virtuelles, porte-cartes numérique - « wallets », comptes rechargeables, etc.), la Commission estime que la communication des coordonnées bancaires entre également dans le cadre de l'exécution du contrat, celui-ci visant précisément à conserver les données relatives à la carte de paiement afin d'éviter aux consommateurs d'avoir à les saisir lors d'achats effectués à distance.
2.4. L'option permettant de faciliter les éventuels paiements ultérieurs :
La Commission estime que la conservation du numéro de la carte du client afin de faciliter ses éventuels paiements ultérieurs, et éventuellement pouvoir procéder à un achat en « un clic » sur le site du commerçant, va au-delà de l'exécution du contrat conclu.
Elle retient que cette faculté constitue une option indépendante de l'acte initial ayant conduit à la collecte des coordonnées bancaires et rappelle qu'un tel traitement nécessite que soit recueilli au préalable le consentement libre, spécifique, éclairé et univoque des personnes, en application de l'article 6-1-a du RGPD.
2.5. La souscription à un abonnement, à titre gratuit ou onéreux, donnant accès à des services additionnels, traduisant l'inscription du client dans une relation commerciale régulière :
La Commission rappelle que la conservation du numéro de la carte du client afin de faciliter ses éventuels paiements ultérieurs sur le site du commerçant va au-delà de l'exécution du contrat conclu.
La Commission considère cependant que le fait pour une personne de souscrire à un abonnement qui donne accès à des prestations additionnelles à celles accessibles à tout client peut traduire l'intention du client de s'inscrire dans une relation commerciale régulière. Ces prestations additionnelles peuvent prendre la forme de services supplémentaires annexes demandés par le client (livraison rapide, accès à des ventes privées ou à des contenus complémentaires, etc.).
Dans de tels cas, la Commission estime que la conservation des données bancaires de la personne pour faciliter ses achats ultérieurs peut être basée sur l'intérêt légitime du responsable de traitement, la personne pouvant, dans ses conditions, raisonnablement s'attendre à ce que ses données bancaires soient conservées pour simplifier ses achats ultérieurs.
La Commission précise que l'intention du client de s'inscrire dans une relation commerciale régulière doit être manifeste. La souscription à un tel abonnement doit donc être distincte de la simple création d'un compte client donnant accès aux services de base. Il doit s'agir d'une démarche complémentaire à la création et au fonctionnement courant d'un compte client. La souscription à l'abonnement peut néanmoins intervenir de manière concomitante à la création d'un compte client.
De même, la Commission estime que la simple inscription à un programme ou compte de fidélité, en contrepartie d'avantages et de récompenses, qui ne donnerait pas accès à des prestations supplémentaires visant à faciliter les achats, ne saurait suffisamment traduire l'intention du client de procéder à des achats réguliers auprès du commerçant, justifiant ainsi la conservation de ses données bancaires par défaut, sur la base de l'intérêt légitime du responsable de traitement.
De plus, pour pouvoir s'appuyer sur la base de l'intérêt légitime à réaliser un tel traitement, le responsable du traitement doit clairement en informer les personnes concernées ainsi que leur permettre de s'y opposer en faisant figurer une mention et un moyen visible, explicite et ergonomique tel qu'une case à cocher, directement sur le support de collecte (voir article 5 de la présente délibération portant sur l'information et les droits des personnes).
2.6. La lutte contre la fraude à la carte de paiement :
La Commission estime que la conservation des données relatives à la carte de paiement au-delà de la réalisation d'une transaction à des fins de lutte contre la fraude à la carte de paiement ne rentre pas dans le cadre du contrat. Elle considère en effet que ce traitement relève de l'intérêt légitime du responsable de traitement, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés des personnes en application de l'article 6-1-f du RGPD, en garantissant notamment le respect des principes de transparence et l'effectivité de l'exercice de leurs droits par les personnes concernées.
La Commission rappelle que l'utilisation du numéro de carte bancaire dans le cadre d'un traitement visant à lutter contre la fraude et, le cas échéant, la conservation d'une trace de comportements frauduleux ayant généré des impayés, ne saurait aboutir à un refus de vente. La Commission précise que cette utilisation peut néanmoins conduire le commerçant à refuser ce mode de paiement.