Peut-on conserver les coordonnées bancaires des internautes ?

Non, les coordonnées bancaires ne peuvent pas être conservées, sauf si l’internaute donne son consentement.

Lorsqu’un internaute réalise une transaction bancaire sur Internet et saisit les informations de sa carte bancaire (nom, numéros de la carte, date d’expiration, cryptogramme), ces données doivent être utilisées uniquement pour la transaction, c’est-à-dire pour la procédure d’achat en cours, car le RGPD^[1] a une notion de « protection des données par défaut »^[2] qui demande notamment de conserver, par défaut, un minimum de données.

Les données bancaires des internautes peuvent cependant être conservées pour d’éventuelles transactions futures si l’internaute donne son consentement.

« Lorsque les données relatives à la carte sont conservées au-delà du temps strictement nécessaire à la réalisation de la transaction pour simplifier un paiement ultérieur, la Commission considère que ce traitement doit avoir reçu le consentement libre, spécifique, éclairé et univoque de la personne concernée, conformément aux dispositions de l’article 6 du RGPD. »

Par ailleurs, le consentement de l’internaute est valable uniquement s’il correspond à une « volonté, libre, spécifique, éclairée et univoque » par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair »^[3] que ses données bancaires soient conservées. Il n’est donc par permis de conserver automatiquement les données bancaires de l’internaute, même en affichant une information dans ce sens, ou d’utiliser une case à cocher pré-cochée (opt-out).