Dans ses recommandations en date du 19 mai 2021, le Comité européen de la protection des données (CEPD) clarifie la base légale à retenir pour le commerçant qui souhaite conserver les données bancaires de ses clients en vue de faciliter leurs futures transactions.
D’emblée, Le CEPD invalide certaines bases légales mentionnées à l’article 6 du RGPD.
Sur les 6 bases légales que propose l'article 6 du RGPD, seules deux d'entre elles pourraient le cas échéant s'appliquer et constituer la base juridique d'un traitement de conservation des données bancaires.
Le consentement de la personne concernée reste la base légale qui pose le moins débat
Le consentement reste de loin la meilleure base légale pour un traitement visant à conserver les données relatives aux cartes de crédit. Le responsable de traitement doit obtenir ce consentement selon les règles de l'art : libre, éclairé, spécifique, non équivoque.
"Si je ne dis pas oui, c'est que c'est non !" Il faut pouvoir trouver à un endroit d'un formulaire la possibilité de cocher une case indiquant une demande de consentement, en veillant à ce qu'il puisse être retiré à tout moment entraînant la suppression immédiate des données bancaires stockées par le responsable de traitement.
L'intérêt légitime comme base légale : le CEPD ne ferme pas la porte mais...
Le CEPD ne ferme pas la porte à cette possibilité, mais il est prudent sinon méfiant et pose des réserves difficiles à lever.
Quelles sont-elles ?
Le responsable de traitement doit être en mesure de qualifier parfaitement cet intérêt légitime et prouver qu'il est bien présent et effectif au moment de la mise en œuvre du traitement des données. Or, c'est précisément l'une des principales justifications du stockage de ces données, et contourner cette réserve nécessite une argumentation habile.
Le responsable de traitement ne peut pas s'appuyer sur la seule facilité du "Clic and Pay" et imposer au nom de son intérêt légitime ce "service-confort "à son client. Là encore, la base légale de l'intérêt légitime est difficilement acceptable pour justifier juridiquement une technique visant à favoriser de nouveaux achats.
Le dernier argument, et sans doute le plus complexe à lever, vise à appliquer cette méthode bien connue de la mise en balance de l'intérêt légitime du commerçant avec un autre intérêt tout aussi légitime de la personne concernée, à commencer par le respect de ses libertés fondamentales. Le CEPD indique en ce sens que « les droits et libertés fondamentaux de la personne concernée par la protection des données primeraient probablement sur l’intérêt du responsable du traitement dans ce contexte spécifique». La porte n'est pas fermée à double tour, mais elle reste à peine ouverte.
Le CEPD balaie d'un revers de main les autres bases légales que propose l'article 6 du RGPD. Respecter une base légale, sauvegarder les intérêts vitaux, exécuter une mission d'intérêt public, exécuter d'un contrat, aucune de ces bases légales ne saurait justifier le stockage de données bancaires. Quelle nécessité y aurait-il à conserver des données pour exécuter un contrat ? On ne parle pas de l'utilisation de données bancaires pour exécuter un contrat présent, mais d'un stockage de données bancaires en vue d'une conclusion d'un contrat futur.
Le comité européen balaie donc l'argument commercial de la facilité, du confort que la personne concernée pourrait trouver en confiant les données personnelles à un commerçant. La personne concernée, le client peut accorder un intérêt à un service qui lui assure un confort et une facilité d'échange. Il pourra facilement obtenir ce service en cochant une case affirmant son consentement. Mais celui qui se voit imposer un tel service pourra le considérer comme une manœuvre commerciale, et dans tous les cas à une perte de ses libertés fondamentales. La facilité n'est pas une nécessité, nous dit le CEPD, et la nécessité se conjugue au présent et non au futur par définition hypothétique.
Comments