10 décembre 2020

Base Documentaire : 03. Conseil d'Etat

Décision du 10 décembre 2020, CDiscount

Référence complète : CE, 10 déc. 2010, CDiscount
 
 
 
"Dispense lorsque les intérêts légitimes du responsable du traitement prévalent sur ceux des personnes concernées (f de l'art. 6 du RGPD) - 1) Modalités d'appréciation - 2) Espèce.

Il résulte clairement de l'article 6 du règlement (UE) n° 2016/679 du 27 avril 2016 (dit " RGPD ") qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux.
 
1) Pour apprécier si les intérêts légitimes du responsable du traitement prévalent sur ceux des personnes concernées, il y a lieu de mettre en balance, d'une part, l'intérêt légitime poursuivi par le responsable du traitement et, d'autre part, l'intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu'aux attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.
 
2) Délibération de la Commission nationale de l'informatique et des libertés (CNIL) indiquant que les données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière. Si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs.".
 
C'est pourquoi le recours de CDiscount contre la décision de sanction de la CNIL est rejeté. 


s légales____ookie

les commentaires sont désactivés pour cette fiche