Le cabinet Avomedias, Avocat en données personnelles vous accompagne dans vos démarches concernant la protection de vos données à caractère personnel, telles que vos coordonnées bancaires.
L’enregistrement des données bancaires
Selon l’article 2 § 1 du RGPD :
« Le présent règlement s'applique au traitement de données à caractère personnel, automa5sé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »
Les données bancaires, étant à caractère personnel, entrent dans la catégorie des données protégeables par le RGPD. Il est donc nécessaire que votre consentement soit recueilli pour qu’un Bers puisse les traiter.
L'article 6 §1 b) du RGPD prévoit une possibilité de traitement de données à caractère personnel lorsque cela est nécessaire à :
- L’exécution d’un contrat auquel la personne concernée est partie
- Ou l’exécution de mesures précontractuelles prises à la demande de celle-ci.
Par conséquent, lorsque vous souhaitez effectuer un achat en ligne, la communication et le traitement de vos données bancaires est nécessaire à l’exécution du contrat de vente. Vous êtes en droit de ne pas consentir à partager votre numéro de carte bancaire avec la plateforme d’achat, mais vous ne pourrez dès lors pas effectuer d’achat en ligne.
La conservation des données bancaires
Tout d’abord, il est essentiel de rappeler que les données à caractère personnel ne peuvent jamais être conservées indéfiniment. Ensuite, votre consentement est nécessaire pour toute conservation de vos données personnelles, y compris bancaires.
En principe, au vu l'article 5 § 1 e) du RGPD, la durée de conservation autorisée des données variera selon la finalité de traitement : cette durée ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
La durée de conservation autorisée va donc varier selon la finalité et le type d’opération :
- Pour les achats nécessitant un paiement unique, les données bancaires ne pourront pas être conservées au-delà de la transaction, sauf si vous y consentez.
- Dans le cadre d’un abonnement avec tacite reconduction, votre consentement ne sera pas nécessaire dans la mesure où l’exécution du contrat nécessite la conversation de ces données.
- Pour la gestion des réclamations, la plate-forme disposera d’un fondement légitime pour les données bancaires à titre de preuve. Mais le principe de minimisation peut s’appliquer : c'est-à dire que la plateforme n’est pas obligée de conserver votre numéro bancaire en entier, mais peut se contenter de ne garder que quelques chiffres le composant.
- Enfin, dans une volonté de facilité les achats ultérieurs, la conversation de vos données bancaires sera possible tant que ces dernières seront valides et tant que vous y consentez.
Le 19 mai 2021, le Comité européen pour la protection des données (CEPD) a d’ailleurs adopté des recommandations concernant le consentement des clients au sujet de la conservation de leurs données bancaires pour leurs futurs achats. En outre, le CEPD propose que les entreprises offrent la possibilité à leurs clients, par le biais d’une cause à cocher, d’enregistrer ou non leurs numéros bancaires. Ce mécanisme permettra donc aux plateformes de recueillir votre consentement d’une manière plus simple et rapide.
Voie de recours en cas de violation des données à caractère personnel
En cas de violation de vos données à caractère personnel, il est possible d’agir devant la Commission nationale de l'informatique et des libertés (CNIL) pour demander la cessation de la violation et le paiement d’une amende. Cependant, la CNIL n’étant pas une juridiction, elle ne pourra pas condamner l’entité ou la personne ayant commis une violation de vos droits. Ainsi, la CNIL est dans l’impossibilité de réparer le préjudice que vous auriez subi.
Afin d’obtenir réparation, le cabinet Avomedias vous accompagner dans vos démarches : en effet il est possible de saisir le juge judiciaire pour motif de violation des données à caractère personnel.
Cependant, il serait pertinent de rappeler que cette action n’est possible que si la violation provient d’une personne morale de droit privé.