Dans sa délibération n° 2017-222 adoptée le 20 juillet 2017, la CNIL présente un certain nombre de recommandations concernant les traitements des données personnelles relatives à la carte de paiement en matière de vente de bien ou de service. La collecte et le traitement des données relatives à une carte de paiement peut concerner des finalités, durée de conservation et bases légales décrits dans le tableau suivant:
| Finalité poursuivie | Durée de conservation des données relatives à la carte bancaire | Base légale du traitement |
| Réalisation d’une transaction en ligne liée à une offre d’un bien et d’un service | Durée de conservation nécessaire à la réalisation de la transaction* commerciale (en cas de paiement unique) | Exécution du contrat |
| Règlement d’abonnements souscris en ligne impliquant des paiements définis, successifs et réguliers | Durée de conservation jusqu’à la dernière échéance de paiement ou jusqu’à résiliation de l’abonnement en cas de renouvellement par tacite reconduction. | Exécution du contrat |
| Faciliter des éventuels achats ultérieurs en ligne | Durée de conservation allant au-delà de l’exécution du contrat nécessaire à la réalisation de la finalité. | Consentement de l’utilisateur |
| Offre de solutions de paiement à distance par des prestataires de services de paiement | Durée de conservation nécessaire à l’exécution du contrat | Consentement de l’utilisateur |
| Lutte contre la fraude à la carte bancaire (carte virtuelle, wallet) | Durée de conservation au-delà de la réalisation de la transaction nécessaire à l’accomplissement de la finalité | Intérêt légitime du responsable du traitement. Ce traitement doit faire l’objet d’une demande d’autorisation auprès de la CNIL. |
| Lutte conte le blanchiment de capitaux | Durée jusqu’à la clôture du compte, le cas échéant archivées conformément aux obligations légales en la matière (conservation des données en mode d’archivage intermédiaire) | Obligation légale |
| Gestion des réclamations | 13 mois suivant la date de débit (article L.133-24 du code monétaire et financier). Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d’utilisation de la carte de paiement à débit différé (conservation des données en mode d’archivage intermédiaire). | Intérêt légitime de responsable du traitement |
Données personnelles collectées dans la cadre du traitement des données relatives à la carte de paiement:
- Numéro de la carte de paiement;
- date d’expiration de la carte de paiement;
- identité du titulaire de la carte de paiement : uniquement collectée et traitée dans le cadre de la lutte contre la fraude à la carte bancaire.
- cryptogramme visuel (numéro composé de tros chiffres au dos de al carte). La conservation du cryptogramme est interdite après la réalisation de la première transaction.
*La réalisation de la transaction, c’est dire au paiement effectif qui peut être différé à la réception du bien ou à l’exécution de service augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de services.