1. Au Recueil Lebon, l’arrêt rendu par le Conseil d’État, le 10 décembre 2020, sur la requête de la société Cdiscount, est mentionné sous cette entrée : « Cas de dispense du recueil du consentement ». Qu’est-ce à dire ?
Disons d’abord que l’affaire portait sur cette fonctionnalité dite de paiement « en un clic » (one-click payment), popularisée par Amazon en son temps et qui permet, lors d’un achat en ligne, d’accélérer le « tunnel de paiement », en dispensant le payeur de ressaisir son numéro de carte qui aura été conservé par le marchand lors d’une première dépense.
Ajoutons qu’en l’espèce, Cdiscount demandait à la Haute juridiction administrative d’annuler pour excès de pouvoir la décision implicite de la présidente de la Commission nationale de l’informatique et des libertés (CNIL), ayant rejeté la demande de la requérante tendant à la modification de la délibération n° 2018-303 du 6 septembre 2018, afin d’autoriser la conservations des numéros de cartes pour les clients non abonnés mais dont la récurrence des achats laisse supposer qu’ils s’attendent à une telle conservation propre à simplifier leurs achats ultérieurs.
2. On se souvient que, par cette délibération du 6 septembre 2018, portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017, la CNIL avait renouvelé, tout en la précisant très sensiblement, sa doctrine initiale (issue d’une délibération du 19 juin 2003[1]) concernant les paiements dits « uniques » (achats ponctuels ou abonnement sans tacite reconduction, réglé en une seule fois) : « la durée de conservation des données relatives à la carte doit correspondre au délai nécessaire à la réalisation de la transaction, c’est-à-dire au paiement effectif qui peut être différé à la réception du bien ou à l’exécution de la prestation de service, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance (article L.1212012 du code de la consommation) »[2].
La décision sous commentaire présente immédiatement l’intérêt de circonscrire la discussion (déjà ancienne) à une seule disposition d’un seul texte : l’article 6, paragraphe 1, du Règlement général sur la protection des données (RGPD), portant sur la « licéité du traitement », qui dispose : « Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : / a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; / b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ; / c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; / d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; / e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; / f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».
L’intérêt est d’autant plus grand – et, le cas échéant, la réécriture contestable – que le Conseil d’État procède à sa propre lecture de cette disposition, qui a finalement peu à voir avec le texte original. Car, en effet, il nous est dit qu’« un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu’il n’est nécessaire ni au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ni à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu’il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux »[3].
3. Ainsi entendu, l’article 6, paragraphe 1, du RGPD mettrait « en balance » consentement et nécessités (au pluriel) ; procédé de « mise en balance »[4] que pratique l’arrêt commenté lorsqu’il énonce que, pour porter une appréciation sur ce texte, « il y a lieu de mettre en balance, d’une part, l’intérêt légitime poursuivi par le responsable du traitement et, d’autre part, l’intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu’aux attentes que ces personnes peuvent raisonnablement avoir quant à l’absence de traitement ultérieur des données collectées »[5].
Il va sans dire qu’ainsi équilibrée, la balance ne peut pencher que du côté où elle pèse le plus, celui des personnes concernées. Autrement dit, et en passant cette fois de la mise en balance d’intérêts au jugement de valeur sur ces mêmes intérêts, « notre conviction est que l’arbitrage entre l’expérience utilisateur et la protection de la donnée appartient non à l’entreprise, mais au détenteur de la carte bancaire »[6].
Ce qui nous donne cette première observation, assez imparable : « il n’est pas contesté que la conservation des numéros de cartes bancaires pour certains clients des sites de commerce en ligne non abonnés pour faciliter des achats ultérieurs n’est nécessaire ni au respect d’une obligation légale, ni à l’exécution d’une mission d’intérêt public, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne. S’agissant de l’exécution d’un contrat auquel la personne concernée est partie, la conservation du numéro de carte bancaire ne saurait se justifier une fois ce contrat exécuté[7]. »
4. Partant, ne tient pas l’argument de la requérante selon lequel la conservation du numéro de carte du client qui a procédé à un achat en ligne caractériserait l’intérêt légitime de faciliter des paiements ultérieurs par dispense du client de le ressaisir à chacun de ses achats.
Car « cet intérêt ne saurait prévaloir sur l’intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d’une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s’attendre à ce que les entreprises concernées conservent de telles données sans leur consentement »[8].
L’affaire est donc entendue, du moins à titre de règle générale : « Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs[9]. »
5. Un dernier point mériterait attention, bien que la décision du 10 décembre 2020 le balaye : celui de la distorsion de concurrence (level playing field) qui profiterait aux opérateurs étrangers… et qui nous ramène à Amazon. La question étant sans incidence sur la légalité de la délibération de la CNIL, nous renvoyons aux lignes que lui consacre le rapporteur public dans ses conclusions.
Où l’on peut s’arrêter un instant, c’est sur ce fameux paragraphe 1 de l’article 6 du RGPD, dont les conditions d’application à la prestation de services de paiement se précisent peu à peu. Il s’avère ainsi que l’European Data Protection Board (edpb) nous a appris que : « In terms of the GDPR, the main legal basis for the processing of personal data for the provision of payment services is Article 6(1)(b) of the GDPR, meaning that the processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract[10]. »
Si bien que cette nécessité contractuelle n’étant plus une fois le contrat exécuté, seul le consentement « explicite » de la personne concernée peut justifier la conservation, par le marchand, du numéro de carte : tel est l’enseignement de la présente décision du Conseil d’État, que les annotateurs de codes commentés placeront peut-être sous l’article L. 521-5 du Code monétaire et financier : « Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement exprès de l’utilisateur de services de paiement. »
Paiement – Données relatives aux cartes de paiement – Données à caractère personnel – RGPD – Licéité du traitement – Consentement – Durée de conservation des données.
[1] . Cf. CNIL, délib. 03-034, 19 juin 2003 : « La Commission considère en conséquence que la durée de conservation d’un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de lutte contre la fraude au paiement du traitement mis en œuvre conformément aux lois et règlement en vigueur. »
[2] . Délib. n° 2018-303, précit., pt 4.1. À l’inverse, « en ce qui concerne les abonnements impliquant des paiements échelonnés, la conservation de ses données bancaires est justifiée :
/ jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction; / jusqu’à résiliation de l’abonnement en cas de renouvellement par tacite reconduction, sous réserve des dispositions applicables et notamment de l’information des personnes concernées avant le renouvellement » (op. cit., loc. cit.).
[3] . CE 10 déc. 2020, précit., pt 7.
[4] . Sur lequel voir, sous l’empire du droit ancien, Avis G29 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable de traitement des données au sens de l’article 7 de la directive 95/46/CE, 9 avr. 2014.
[5] . CE 10 déc. 2020, opt. cit., loc. cit.
[6] . Concl. M. Alexandre Lallet, p. 6, qui ajoute que « l’entreprise n’a pas à se substituer au client, dans une logique presque paternaliste, pour définir ce qui est bon pour ce dernier ».
[7] . CE 10 déc. 2020, précit., pt 8.
[8] . CE 10 déc. 2020, précit., pt 9.
[9] . CE, 10 déc. 2020, opt. cit., loc. cit.
[10] . EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR, Version 2.0, Adopted on 15 December 2020, pt 14. Cf., sur la version soumise à consultation, P. Storrer, « La DSP 2 au risque du RGPD ? (À propos des lignes directrices du Comité européen de la protection des données) », Banque et Droit n° 193, sept.-oct. 2020, p. 34.
