CE - N° 429571

From GDPRhub
Revision as of 14:51, 21 December 2020 by Mh (talk | contribs)
CE - 429571
Courts logo1.png
Court: CE (France)
Jurisdiction: France
Relevant Law: Article 6(1)(a) GDPR
Article 6(1)(b) GDPR
Article 6(1)(f) GDPR
Decided: 10.12.2020
Published:
Parties: Cdiscount
CNIL
National Case Number/Name: 429571
European Case Law Identifier: ECLI:FR:CECHR:2020:429571.20201210
Appeal from: CNIL
Appeal to: Not appealed
Original Language(s): French
Original Source: Legifrance (in French)
Initial Contributor: Tsek

The French Supreme Administrative Court (Conseil d’Etat) held that the French DPA (CNIL) lawfully issued a guideline ("recommendation") on consent to storage of customer's credit card data by e-commerce websites. The Court also found that said websites do not have a legitimate interest to store credit card data under Article 6(1)(f) GDPR.

English Summary

Facts

On 6 September 2018, the CNIL issued a Recommendation on the processing of credit card data in the context of online purchase of goods and services. The recommendation provides that:

(1) Credit card data can only be processed in order to complete a transaction in connection with the performance of a contract;

(2) The storage of such data in order to facilitate subsequent payments is only possible if:

  • (a) The data subject has expressed prior and explicit consent; or
  • (b) Has taken a subscription offering access to additional services, thus intending to enter in a regular commercial relationship.

Cdiscount, a marketplace website, requested the CNIL to modify those rules. It argued that websites should also be able to store credit card data of customers who can reasonably foresee their data will be stored, on the basis of their purchasing frequency. The CNIL did not meet the demand. Cdiscount is thus seeking the annulment of the decision before the French Administrative Supreme Court.

Dispute

Did the CNIL exceed its remit when interpreting Article 6 GDPR in its Recommendation?

Did the CNIL, by requiring prior and explicit consent, wrongly considered credit card data as a special category of personal data (Article 9 GDPR)?

Does the data controller have a legitimate interest to process credit card data of recurring purchasers under Article 6(1)(f)?

Can the recommendation be annulled on the ground that it creates a distortion of competition with foreign economic operators that are not subject to similar legislation?

Holding

The Supreme Administrative Court dismisses the appeal, on the following grounds.

On the CNIL's competence to interpret Article 6 GDPR

The Court holds that the CNIL acted within its power when interpreting Article 6 GDPR. This power is derived from Article 11(I) and I(2°)(a bis) of the French data protection law (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés). These provisions designate the CNIL as Supervisory authority for France under Article 51 GDPR. They also expressly grant the CNIL power to issue guidelines and recommendations in order to help achieving compliance with the GDPR.

On the alleged confusion of credit card data with special categories of data

The French Supreme Administrative Court finds that the CNIL only referred to Article 6 GDPR. Thus, the argument is dismissed.

On the legitimate interest to process credit card data of regular customers

The French Supreme Administrative Court balances the possible legitimate interest of websites to process such data against the fundamental rights and freedom of data subjects. Relevant elements in this test are the nature of collected data, the purpose and methods of the data processing and the data subject reasonable expectation that its data are not subsequently processed.

Firstly, the Court notes that the storage of credit card data does not stem from any legal obligation. It is not necessary to protect vital interests or the performance of a task carried out in the public interest. Likewise, it is not necessary for the performance of a contract.

Secondly, the Court holds that the storage of credit card data in order to ease future payments does not prevail on customers’ interest to the protection of their data. This conclusion takes in account the sensitivity of this category of data in regard with the damage that would cause any leak. Furthermore, the Court considers that customers cannot reasonably foresee that such data will be stored.

On the distortion of competition

The Court holds that the alleged distortion does not affect the recommendation’s lawfulness.

Comment

Share your comments here!

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the French original. Please refer to the French original for more details.

RÉPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS

Vu la procédure suivante :

Par une requête et deux mémoires en réplique, enregistrés les 8 avril 2019, 2 mars et 17 novembre 2020 au secrétariat du contentieux du Conseil d'Etat, la société Cdiscount demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir la décision implicite de la présidente de la Commission nationale de l'informatique et des libertés (CNIL) rejetant la demande qu'elle a présentée le 7 décembre 2018 tendant à la modification de la délibération n° 2018-303 du 6 septembre 2018 ;

2°) d'enjoindre à la CNIL de réexaminer, à l'aune de la décision à intervenir, le régime de conservation des données de cartes bancaires pour les clients non abonnés, et ce dans un délai d'un mois à compter de la notification de la décision à intervenir ;

3°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne d'une question portant sur l'interprétation du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

4°) de mettre à la charge de la CNIL la somme de 3 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.


Vu les autres pièces du dossier ;

Vu :
- la Constitution ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative et le décret n° 2020-1406 du 18 novembre 2020 ;


Après avoir entendu en séance publique :

- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,

- les conclusions de M. Alexandre Lallet, rapporteur public ;

La parole ayant été donnée, après les conclusions, à la SCP Piwnica, Molinié, avocat de la société Cdiscount ;



Considérant ce qui suit :

1. Il ressort des pièces du dossier que, par une délibération du 6 septembre 2018, la Commission nationale de l'informatique et des libertés (CNIL) a adopté une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par cette recommandation, la CNIL a indiqué que ces données ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.

2. La société Cdiscount a saisi la présidente de la CNIL d'une demande de modification de la délibération du 6 septembre 2018, afin d'autoriser la conservation des numéros de cartes bancaires pour les clients non abonnés mais dont la récurrence des achats laisse supposer qu'ils peuvent raisonnablement s'attendre à ce que leurs données bancaires soient conservées pour simplifier leurs achats ultérieurs. Elle demande l'annulation pour excès de pouvoir du refus opposé par la présidente de la CNIL à cette demande.

3. D'une part, aux termes de l'article 6 du règlement du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données : " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; / b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;/ c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; / d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique; /e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; / f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (...) ". Selon le considérant 47 des motifs de ce règlement : " Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement (...) ".

4. D'autre part, l'article 58 du règlement dispose que : " 3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants : (...) b) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ;(...) ". Aux termes de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique et aux libertés dans sa version applicable au litige : " I. La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes : (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. / A ce titre : (...) a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants (...) ".

5. En premier lieu, par la délibération litigieuse, la CNIL s'est bornée, dans le cadre des prérogatives que lui confèrent les dispositions mentionnées au point 4, à donner son interprétation des dispositions du règlement du 27 avril 2016 mentionnées au point 3 en ce qui concerne les modalités selon lesquelles un responsable de traitement peut légalement conserver les données de cartes bancaires des clients de ses services d'achat en ligne. Par suite, le moyen tiré de ce qu'elle aurait incompétemment modifié ce règlement ne peut qu'être écarté.

6. En deuxième lieu, l'article 9 du règlement du 27 avril 2016 dispose que " 1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. / 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie: / a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée (...) ". Contrairement à ce que soutient la société Cdiscount, la CNIL n'a pas fondé l'exigence de consentement préalable des personnes concernées par les traitements considérés sur les dispositions de l'article 9 du règlement du 27 avril 2016 qui viennent d'être citées, mais sur celles de son article 6. Par suite, le moyen selon lequel la CNIL aurait à tort assimilé les données bancaires à des données sensibles au sens de l'article 9 du règlement du 27 avril 2016 ne peut qu'être écarté.

7. En troisième lieu, il résulte clairement des dispositions de l'article 6 du règlement du 27 avril 2016 citées au point 3 qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux. Pour porter cette appréciation, il y a lieu de mettre en balance, d'une part, l'intérêt légitime poursuivi par le responsable du traitement et, d'autre part, l'intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu'aux attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.

8. D'une part, il n'est pas contesté que la conservation des numéros de cartes bancaires pour certains clients des sites de commerce en ligne non abonnés pour faciliter des achats ultérieurs n'est nécessaire ni au respect d'une obligation légale, ni à l'exécution d'une mission d'intérêt public, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne. S'agissant de l'exécution d'un contrat auquel la personne concernée est partie, la conservation du numéro de carte bancaire ne saurait se justifier une fois ce contrat exécuté.

9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.

10. En quatrième lieu, la circonstance alléguée que la délibération litigieuse aurait pour effet de créer une distorsion de concurrence au bénéfice d'opérateurs économiques étrangers relevant des régulateurs d'autres pays, ou n'étant soumis à aucune régulation, est, par elle-même, sans incidence sur sa légalité.

11. Il résulte de tout ce qui précède que, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel, la société Cdiscount n'est pas fondée à demander l'annulation pour excès de pouvoir de la décision implicite de la présidente de la CNIL rejetant sa demande tendant à la modification de la délibération du 6 septembre 2018. Ses conclusions à fins d'injonction ainsi que celles présentées au titre de l'article L. 761-1 du code de justice administrative doivent, par voie de conséquence, être rejetées.



D E C I D E :
--------------

Article 1er : La requête de la Société Cdiscount est rejetée.
Article 2 : La présente décision sera notifiée à la Société Cdiscount et à la commission nationale de l'informatique et des libertés.