Home / Publications / Collecte des données bancaires : les leçons à tirer...

Collecte des données bancaires : les leçons à tirer de l'avertissement de la CNIL à Fnac Direct

Analyse juridique parue dans la revue Option Finance du 8 octobre 2012

08/10/2012


A la suite d'une délibération du 19 juillet 2012, la CNIL a rendu public un avertissement à l'encontre de la société Fnac Direct en raison de manquements à la conservation des données bancaires des clients du site www.fnac. com.

La CNIL relève trois manquements distincts. Elle reproche à Fnac Direct de ne pas avoir recueilli le consentement des clients à la conservation de leurs données bancaires. En effet, une fois la transaction réalisée, la société conservait ces données afin de mettre en place un portefeuille électronique permettant d'éviter d'avoir à ressaisir les coordonnées bancaires lors d'un nouvel achat. La CNIL souligne que le recours à une telle pratique, sans être interdit, implique la mise en oeuvre de garanties renforcées et l'obtention du consentement exprès des clients à la conservation de leurs données.

Le second grief de la CNIL concerne la durée de conservation des données collectées, qui ne peut excéder la durée nécessaire aux finalités pour lesquelles la collecte des données a été réalisée (article 6-5° de la loi de 1978). La CNIL relève que Fnac Direct n'a pas cherché à définir la durée pendant laquelle elle devait conserver les données de ses clients. Ainsi, concernant les données bancaires et les cryptogrammes, la CNIL estime que la durée de conservation ne peut excéder la durée pendant laquelle les banques peuvent exercer un recours contre un paiement frauduleux ou la durée requise pour la réalisation effective du paiement. La conservation des données ayant persisté au-delà de cette date, la CNIL relève que la société n'a pas respecté les dispositions de la loi.

Le dernier manquement constaté a trait à l'obligation d'assurer la sécurité et la confidentialité des données collectées. Dans la même base, apparaissaient le nom du détenteur, le numéro et la date d'expiration de la carte, ainsi que le cryptogramme visuel. En outre, ces données n'étaient pas cryptées. La CNIL relève que la base revêt une sensibilité toute particulière et que la société n'a pas pris toutes les précautions nécessaires à assurer sa protection.

Cette décision vient rappeler que les données bancaires sont des données sensibles dont le traitement doit donner lieu au recueil du consentement des personnes concernées, être entouré de précautions physiques et logiques et conduire à une politique d'archivage et de destruction rigoureuse.

Auteurs

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris