CE – Cdiscount – 4295571

Décision

Autorité:

Conseil d'Etat

Numéro:

4295571

Nom:

Cdiscount

Date:

10 décembre 2020

Pays:

France

Lien:

Cliquer ici

Contexte

Par une délibération du 6 septembre 2018, la CNIL a adopté une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par cette recommandation, la CNIL a indiqué que ces données ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.

La société Cdiscount a saisi la présidente de la CNIL d'une demande de modification de la délibération du 6 septembre 2018, afin d'autoriser la conservation des numéros de cartes bancaires pour les clients non abonnés mais dont la récurrence des achats laisse supposer qu'ils peuvent raisonnablement s'attendre à ce que leurs données bancaires soient conservées pour simplifier leurs achats ultérieurs. Elle demande l'annulation pour excès de pouvoir du refus opposé par la présidente de la CNIL à cette demande.

Apport(s)
Intérêt légitime pour la conservation des informations bancaires d’un client - Exclusion - Prévalence des intérêts des personnes concernées sur l’intérêt d’une société Extrait(s) pertinent(s)9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté. Article(s) du RGPD Article 6 – Licéité du traitement Fait référence à Autres informations

Apport(s)

Intérêt légitime pour la conservation des informations bancaires d’un client - Exclusion - Prévalence des intérêts des personnes concernées sur l’intérêt d’une société

Extrait(s) pertinent(s)9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.
Article(s) du RGPD Article 6 – Licéité du traitement
Fait référence à
Autres informations

Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion