Sur la durée de conservation des données.
La Commission rappelle qu'en application de l'article 5-1-e du RGPD, les données doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Elle rappelle à cet égard que la conservation du cryptogramme après la réalisation de la première transaction est interdite, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.
4.1. Les paiements uniques et abonnements :
La Commission précise que :
- s'agissant de paiements uniques (achats ponctuels ou abonnement sans tacite reconduction, réglé en une seule fois), la durée de conservation des données relatives à la carte doit correspondre au délai nécessaire à la réalisation de la transaction, c'est-à-dire au paiement effectif qui peut être différé à la réception du bien ou à l'exécution de la prestation de service, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance (article L.121-20-12 du code de la consommation) ;
- en ce qui concerne les abonnements impliquant des paiements échelonnés, la conservation de ses données bancaires est justifiée :
- jusqu'à la dernière échéance de paiement, si l'abonnement ne prévoit pas de tacite reconduction ;
- jusqu'à résiliation de l'abonnement en cas de renouvellement par tacite reconduction, sous réserve des dispositions applicables et notamment de l'information des personnes concernées avant le renouvellement.
4.2. La gestion des réclamations :
S'agissant des commerçants en ligne, le risque financier d'une utilisation non autorisée pesant in fine sur ces derniers dans le cas où ils n'ont pas mis en œuvre un système d'authentification de leurs clients, la Commission estime qu'ils peuvent conserver le numéro de carte et la date de validité de celle-ci dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement. Les données peuvent être conservées pour la durée prévue par l'article L. 133-24 du code monétaire et financier, en l'occurrence 13 mois suivant la date de débit. Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d'utilisation de cartes de paiement à débit différé.
Les données ainsi conservées à des fins de preuve doivent être versées en archives intermédiaires et utilisées uniquement en cas de contestation de la transaction. Les numéros de carte de paiement conservés à cette fin doivent faire l'objet de mesures de sécurité techniques, telles que décrites à l'article 6 de la présente recommandation, visant à prévenir toute réutilisation illégitime.
4.3. La lutte contre le blanchiment :
Dans les cas où les données relatives à la carte seraient collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu'à la clôture du compte puis, le cas échéant, archivées conformément aux obligations légales en la matière.
4.4. Autres finalités :
Dans les cas où le numéro de la carte serait utilisé à d'autres fins, dans le cadre d'une simple option visant à faciliter les achats ultérieurs, d'un abonnement donnant accès à des services additionnels ou d'un traitement de lutte contre la fraude, sa durée de conservation ne saurait excéder la durée nécessaire à l'accomplissement de cette finalité.