Par Anne-Laure Villedieu, avocat associé, CMS Bureau Francis Lefebvre.

Cette recommandation, adoptée après consultation de la Banque de France, du Groupement des cartes bancaires, des principales associations de consommateurs et des acteurs du e-commerce et de la vente à distance, vise à exposer aux commerçants les mesures que la CNIL juge nécessaires de mettre en œuvre en vue de collecter et de traiter des données de cartes bancaires. Elle s’applique au traitement de données relatives à la carte de paiement dans le cadre de contrats de vente ou de prestations de services à distance conclus entre un consommateur et un professionnel. La CNIL précise que la conservation des données relatives à la carte postérieurement à la réalisation de la transaction ne peut se faire qu’avec le consentement préalable de la personne concernée ou poursuivre l’intérêt légitime du responsable de traitement en ce qui concerne la lutte contre la fraude au paiement en ligne. Dans le second cas, le traitement doit fait l’objet d’une demande d’autorisation auprès de la CNIL, sur le fondement de l’article 25-1 de la loi du 6 janvier 1978 modifiée.

Seul le numéro de la carte, la date d’expiration et le cryptogramme visuel peuvent être collectés. L’identité du titulaire de la carte ne peut être enregistrée que dans le cadre de la lutte contre la fraude. Pour des raisons de sécurité, la photocopie ou la copie numérique de la carte ne peut être demandée. D’une manière générale, la durée de conservation des données ne peut excéder le délai nécessaire à la réalisation de la...