Données personnelles et cartes bancaires

Les cybermarchands (même si le plus souvent ces derniers ne gèrent pas directement leur solution de paiement), ont l’obligation de supprimer les données relatives aux cartes bancaires de leur serveur / base, une fois la transaction réalisée, c’est-à-dire dès son paiement effectif.

Par exception, les données bancaires peuvent être conservées pour une finalité de preuve en cas d’éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l’article L 133-24 du code monétaire et financier (13 mois suivant la date de débit). Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé.

Les données de cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement des clients réguliers par exemple). Ce consentement peut être recueilli par l’intermédiaire d’une case à cocher (mais non pré-cochée par défaut), par exemple et ne peut résulter de l’acceptation de conditions générales.

Quid du cryptogramme ?

Les données relatives au cryptogramme visuel ne doivent pas être stockées. Lorsque la date d’expiration de la carte bancaire est atteinte, les données relatives à celles-ci doivent être supprimées.