Lors de votre shopping en ligne, les sites vont avoir accès à vos coordonnées bancaires lors du paiement. Les données collectées sont les données qui sont nécessaires pour effectuer la transaction :
- Le numéro de la carte
- La date d’expiration
- Le cryptogramme visuel (CCV)
Ces données bancaires ne peuvent être conservées au-delà de la transaction effectuée.
Or, il est possible que le site veuille enregistrer vos coordonnées bancaires pour vos futurs achats. Dans ce cas, ils devront recueillir votre consentement afin de les enregistrer.
Cela doit être présenté par le site comme une cache à cocher, ou accepter ou non le fait l’enregistrement de ces données bancaires.
Cas particuliers :
- Les sites peuvent conserver vos coordonnées bancaires lorsque vous souscrivez à un abonnement. La transaction étant effectuée tous les mois, ils doivent donc les conserver jusqu’à la fin de l’abonnement ou de la résiliation, vous êtes en droit ensuite de demander la suppression de votre moyen de paiement.
- Pour se faire, les sites doivent mettre en place des mesures de sécurités supplémentaires afin de garantir la sécurité des données personnelles des clients.
La conservation des données va également dépendre de la finalité de ces dernières. La règle principale : les données bancaires sont sauvegardées jusqu’à la fin de la transaction lors d’un paiement.
Dans le cadre d’une réclamation, les données bancaires sont conservées durant 13 mois, si la carte est à débit immédiat, ou 15 mois si la carte est en débit différé. Ces données ne sont pas conservées dans la base active du site mais dans les archives. Elles ne pourront être utilisées que lors d’une réclamation de votre part concernant une précédente transaction.
De ce fait, les personnes disposent de droits concernant leurs données personnelles. Les données en font partie. L’article 5 de la délibération du 6 Septembre 2018, sur les recommandations concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fournitures de services à distance, rappelle l’obligation d’information et les droits des personnes : « Toute utilisation du numéro de carte de paiement, quelle qu’en soit la finalité, doit faire l’objet d’une information complète et claire auprès des personnes. »
Les droits sont prévus aux articles 15 à 21 du RGPD :
- Un droit de retrait du consentement et opposition au traitement de leurs données
- Droit d’accès, rectification et effacement des données
- Droit à la limitation du traitement
- Droit à la portabilité.
En résumé, vos coordonnées bancaires ne peuvent être conservées sur un site sans votre consentement. Si c’est le cas, vous pouvez saisir la CNIL afin de faire valoir vos droits. Pour cela, il est préférable de vous rapprocher d’un avocat spécialisé en RGPD pour qu’il puisse vous aider à protéger vos données personnelles.