Le Comité européen de la protection des données (CEPD) constate que le commerce électronique se développe rapidement. Parallèlement, la conservation des données relatives de cartes de paiement pour faciliter les futurs achats sur un même site est devenue une pratique répandue.

 

En réaction à ces évolutions, le CEPD a adopté des recommandations sur la base légale de la conservation des données de carte de paiement, dont la seule finalité est de faciliter les futurs achats sur le site.

 

La seule base légale appropriée à un tel traitement de données est le consentement. Souhaitant diminuer les risques liés à l’usage des cartes de paiement sur Internet, le CEPD exclut toutes les autres bases légales.

 

Le CEPD relève que les internautes ne s’attendent pas à ce que ces données soient stockées au-delà du temps nécessaire à l’accomplissement des démarches. De surcroît, les futures ventes sur le site ne dépendent pas de la possibilité d’effectuer un achat mais de la volonté des consommateurs. Par conséquent, la conservation des données de cartes bancaires ne peut être justifiée par l’intérêt légitime du responsable de traitement ou d’un tiers.

 

CEPD, Recommandations 02/2021 adoptées le 19 mai 2021,

https://edpb.europa.eu/system/files/2021-05/recommendations022021_on_storage_of_credit_card_data_en_1.pdf