Le gouvernement ne juge pas utile de modifier la législation pour contraindre les applications d'achat de fournir une option permettant de supprimer définitivement ses données bancaires. Le cadre juridique est jugé suffisant.

Faut-il obliger les applications d’achat en ligne à proposer une option permettant de supprimer définitivement ses données bancaires ? C’est la question que posait cet automne la députée Marianne Dubois, membre du groupe Les Républicains, au gouvernement. La réponse est arrivée dix mois plus tard : une telle contrainte n’est pas nécessaire, car « le cadre juridique applicable apparaît suffisant ».

Le gouvernement, par la voix du ministère de la justice, fait en effet observer qu’une telle modification de la législation poserait quelques problèmes.

« Le cadre juridique applicable apparaît suffisant ».

Ainsi, « dans le cas d’un paiement par carte bancaire, le numéro de la carte et la date de validité de celle-ci peuvent être conservés pour une finalité de preuve en cas d’éventuelle contestation de la transaction », expliquent les services de la ministre de la justice. Cette rétention peut atteindre 13 mois après la date de débit, et même 15 mois « afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé ».

Par ailleurs, l’exécutif fait observer que « les données relatives aux cartes bancaires peuvent être conservées plus longtemps sous réserve d’obtenir le consentement exprès de la personne concernée et pour des finalités précises comme la facilitation de paiement régulier ». Ce consentement, qui peut être retiré à tout moment, doit être éclairé, libre, spécifique et matérialisé par un acte positif clair.

Des règles d’encadrement

Ceci posé, l’application d’achat en ligne ne peut pas faire n’importe quoi. C’est ce que la réponse de l’exécutif pointe au passage

« Conformément au principe de limitation de la conservation […], les données à caractère personnel doivent être conservées […] pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». C’est particulièrement vrai pour les conservations prévues en cas de contestation de la transaction. Il est d’ailleurs spécifié qu’il est interdit de s’en servir pour autre chose.

À ce propos, le ministère de la justice souligne qu’il existe des exigences de protection « particulières » émises la Commission nationale de l’informatique et des libertés lorsque la durée de rétention dure plusieurs mois. Ces impératifs s’ajoutent à ceux en vigueur pour éviter les piratages et, le cas échéant, en limiter les effets. Cela inclut le chiffrement des données et l’absence de conservation du cryptogramme visuel.

Plus généralement, le caractère personnel de la plupart des données de compte ou de données bancaires est rappelé : en conséquence, le traitement de telles données doit respecter le Règlement général sur la protection des données, à commencer par le droit à l’effacement de données, si les données ne sont plus requises au regard des finalités pour lesquelles elles ont été collectées ou si le consentement a été retiré.

Ce droit à l’effacement n’est toutefois pas absolu : si le traitement « est nécessaire pour respecter une obligation légale qui requiert le traitement ou dans la mesure où les données seraient nécessaires à la constatation, à l’exercice ou à la défense de droits en justice », alors il sera prioritaire. C’est notamment le cas dans le cadre d’une transaction en cours, selon différentes modalités.