Le 28 février 2019, la CNIL a annoncé avoir fait évoluer sa recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par une délibération du 6 septembre 2018, la CNIL avait précisé les précautions que les commerçants devaient prendre pour traiter ces données en conformité avec le RGPD. Elle avait notamment rappelé le principe de non-conservation des données d’identification bancaire après la réalisation de la transaction. Au-delà, le traitement de ces données nécessite « le consentement libre, spécifique, éclairé et univoque des personnes » concernées et vise uniquement à faciliter leurs achats ultérieurs. La doctrine de la CNIL a également évolué s’agissant des abonnements donnant accès à des prestations additionnelles, pour lesquels des règles spécifiques de conservation et de collecte ont été prévues.
Pour lire le communiqué et la recommandation de la CNIL