Les sites de e-commerce peuvent stocker les numéros de carte bancaire de leurs clients, à condition de recueillir leur consentement exprès : c’est la règle édictée par la Cnil, qui vient toutefois d’introduire une exception. Explications.

Trouver le meilleur compromis entre la sécurité et le confort d’usage : c’est une des principales préoccupations des sites d’e-commerce. Et parmi les étapes les plus fastidieuses d’un achat en ligne, il y a celle qui consiste à renseigner les 16 chiffres de son numéro de carte bancaire, ainsi que sa date d’expiration et de son cryptogramme à 3 chiffres.

Pour alléger la procédure - et améliorer en passant leur taux de transformation - les e-commerçants ont la possibilité de conserver les numéros de carte pour les renseigner automatiquement à l’occasion d’un prochain achat. Pour cela, ils doivent toutefois suivre les recommandations de la Cnil (1), l’autorité administrative indépendante chargée de protéger les consommateurs contre tout usage abusif des données informatiques les concernant.

Une exception pour les abonnements premium

La doctrine de la Cnil en la matière est claire : les e-commerçants peuvent stocker les numéros de carte de leurs clients récurrents à condition de recueillir leur consentement exprès. Ce consentement, précise l’autorité, doit « prendre la forme d'un acte de volonté univoque ». Ce qui signifie qu’il ne peut être recueilli par défaut, par exemple par le biais d’une case pré-cochée, ni par la simple acceptation des conditions générales de vente.

Récemment, la Cnil a toutefois fait évoluer sa recommandation, en introduisant un cas particulier, celui des abonnements premium proposés par certains géants du secteur : Amazon Prime, Fnac+, etc. « La souscription à un abonnement complémentaire peut témoigner de la volonté du client de s’inscrire dans une relation commerciale régulière avec le commerçant (…) », explique la Cnil sur son site web. « Dans ce cas, les commerçants peuvent conserver par défaut les données bancaires saisies (…). »

Ce faisant, ils doivent toutefois continuer à respecter certaines règles : informer clairement leur client de ce stockage ; lui laisser la possibilité de s’y opposer en cochant une simple case ; respecter durablement ce choix initial, à l’occasion notamment des achats ultérieurs. Et, quoi qu’il arrive, ne pas stocker le cryptogramme à 3 chiffres : la conservation de ce code, destiné à s’assurer que l’acheteur est bien en possession de la carte bancaire qu’il utilise pour payer, est en effet interdite dans tous les cas.

(1) Commission Nationale de l’Informatique et des Libertés