Un site de vente en ligne peut-il conserver les coordonnées bancaires de ses clients ?
X commande un plat cuisiné par le site Internet de l’entreprise Y basée à Genève, sans se connecter à l’aide d’un compte client.
À réception du plat, le conjoint de X, par l’odeur alléchée, décide d’en commander un également.
La personne se rend donc sur le site de commande en ligne avec son propre ordinateur. Au moment de régler la somme requise, elle constate non sans surprise que les données bancaires de son conjoint sont déjà connues du système.
Ni une ni deux, elle téléphone à l’entreprise, exige de parler au directeur, et lui dit sa façon de penser.
Le patron de l’entreprise ignorait totalement comment fonctionnait le processus de commande en ligne. Il reconnaît que la sécurité des données n’est pas garantie, et s’engage à intervenir auprès de son webmaster.
Recommandations
Lors de commande en ligne, seules les informations indispensables doivent être collectées et conservées par l’entreprise. Le présent scénario montre que les données ont été collectées par le biais de deux ordinateurs distincts, mais sis géographiquement au même endroit, et qu’elles ont été liées à l’adresse publique du logement. L’adresse IP étant une donnée personnelle, non nécessaire à la transaction, en l’espèce, l’entreprise n’est pas en droit de garder cette information.
Principes de base
art. 4 et 7 LPD ; Proportionnalité, Sécurité des données.
Ressources