Les droits des personnes.
5.1. L'obligation générale d'information :
Toute utilisation du numéro de carte de paiement, quelle qu'en soit la finalité, doit faire l'objet d'une information complète et claire auprès des personnes. Elles doivent être informées de ce qu'il sera fait de leurs données et ce, dès le stade de la collecte, dans les conditions prévues par les articles 13 et 14 du RGPD.
Elles doivent être informées de la manière d'exercer les droits :
- de retrait de leur consentement ou d'opposition au traitement de leurs données ;
- d'accès, rectification et effacement des données qui les concernent ;
- à la limitation du traitement ; par exemple, lorsque la personne conteste l'exactitude de ses données, elle peut demander par ailleurs le gel temporaire du traitement des données le temps que l'organisme procède aux vérifications nécessaires ;
- à la portabilité : le responsable de traitement doit permettre à toute personne de recevoir, dans un format structuré couramment utilisé, l'ensemble des données traitées par des moyens automatisés qui auraient été fournies par la personne sur la base de son consentement ou d'un contrat. Il est donc recommandé de préciser aux personnes concernées les traitements concernés par ce droit.
Selon la finalité poursuivie, le consentement des personnes (en cas de conservation des données aux seules fins de faciliter des paiements ultérieurs, par exemple) ou un moyen de s'opposer à certaines opérations de traitement (telle que la conservation des données dans le cadre d'un abonnement donnant accès à une relation commerciale privilégiée, par exemple) devra également être prévu sur le support de collecte des données.
5.2. L'information spécifique lors de la reconduction tacite de l'abonnement :
En ce qui concerne les contrats d'abonnement avec reconduction tacite, la Commission rappelle que le responsable de traitement est tenu d'informer la personne concernée de la reconduction tacite de son contrat et, sauf opposition de sa part, de la conservation de ses coordonnées bancaires pour le paiement des échéances du nouveau contrat.
5.3. L'information et le recueil du consentement lors de la conservation des données aux fins de faciliter des paiements ultérieurs :
Lorsque les données relatives à la carte sont conservées au-delà du temps strictement nécessaire à la réalisation de la transaction pour simplifier un paiement ultérieur, la Commission considère que ce traitement doit avoir reçu le consentement libre, spécifique, éclairé et univoque de la personne concernée, conformément aux dispositions de l'article 6 du RGPD.
La Commission estime, en effet, que ces données ne sont pas collectées pour permettre la réalisation d'un paiement mais pour offrir un service supplémentaire au client, en l'occurrence ne pas avoir à ressaisir son numéro de carte lors d'un prochain achat et/ou permettre qu'elle puisse procéder à un achat en « un clic ». Dès lors, ce traitement de données nécessite que soit recueilli le consentement préalable de la personne concernée. Celui-ci ne se présume pas et doit prendre la forme d'un acte de volonté univoque, par exemple au moyen d'une case à cocher (non pré-cochée par défaut). L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes.
Afin de satisfaire l'obligation prévue à l'article 7-3 du RGPD, la Commission recommande que le responsable de traitement intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement donné.
5.4. L'information et l'opposition préalable à la conservation des données bancaires en cas de souscription à un abonnement donnant accès à des services additionnels facilitant les achats, traduisant l'inscription du client dans une relation commerciale régulière :
La Commission estime que le fait pour une personne de souscrire un abonnement lui donnant accès à des prestations annexes (livraison rapide, accès à des ventes privées ou contenus supplémentaires, etc.) peut traduire l'intention du client de s'inscrire dans une relation commerciale régulière.
Dans de tels cas, la Commission estime que la conservation des données bancaires de la personne pour faciliter ses achats ultérieurs peut être basée sur l'intérêt légitime du responsable de traitement, la personne pouvant, dans ces conditions, raisonnablement s'attendre à ce que ses données bancaires soient conservées pour simplifier ses achats ultérieurs.
Toutefois, pour pouvoir valablement s'appuyer sur la base légale de l'intérêt légitime, le responsable du traitement doit clairement informer les personnes concernées, lors de la saisie de leurs données bancaires sur le support dédié, de leur conservation par défaut et de la durée de cette conservation.
Lors de cette saisie, la personne doit également pouvoir s'opposer, simplement et discrétionnairement, par un moyen visible, explicite et ergonomique, tel qu'une case à cocher, à la conservation de ses données bancaires. L'opposition exprimée par ce biais doit être prise en compte par le responsable du traitement, y compris lors d'achats ultérieurs.
En cas d'opposition exprimée par la personne concernée quant à la conservation de ses données bancaires, le responsable du traitement ne pourra, par la suite, pas conserver par défaut les données bancaires nouvellement saisies par le client lors d'achats ultérieurs.
L'enregistrement des données bancaires saisies ne pourra être réalisé qu'à la demande explicite de la personne concernée, exprimée ici encore par moyen visible, explicite et ergonomique, tel qu'une case à cocher.
Enfin, le responsable du traitement doit également permettre aux personnes de demander, à tout moment et de manière discrétionnaire, la suppression de leurs données bancaires.