Petit rappel sur les règles encadrant le traitement des données bancaires des clients

La Commission nationale informatique et libertés (CNIL) veille à ce que les données personnelles collectées fassent l'objet de mesures de sécurité particulières et de conservation limitées dans le temps. A la suite d'un contrôle au sein d'un hôtel, les agents de la CNIL ont relevé plusieurs infractions aux règles encadrant le traitement des données bancaires des clients, telles que l'absence d'une politique d'effacement des données collectées, des mesures de sécurité insuffisantes au regard de la nature des données enregistrées et un défaut d'information des clients sur les conditions de traitement de leurs données et des droits qui leur sont reconnus par la loi.
Estimant qu'il ne s'agissait pas d'un cas isolé, la Commission informatique et libertés a décidé de rappeller aux professionnels hôteliers, mais aussi aux autres professions disposant de fichiers clients, que ces données doivent faire l'objet de mesures de sécurité particulières et leur conservation doit être limitée dans le temps.
Les titulaires de fichiers clients, doivent en effet s'ils en sont destinataires, "effacer les données bancaires une fois la transaction réalisée, c'est-à-dire après le paiement effectif. Cette exigence est destinée à limiter les cas d'utilisation frauduleuse de numéros de cartes bancaires. Seul le consentement exprès du client, préalablement informé de l'objectif poursuivi (faciliter le paiement par les clients réguliers de l'hôtel) peut justifier que les données soient conservées plus longtemps", explique la CNIL dans un communiqué.
En outre, "toutes les mesures garantissant la sécurité et la confidentialité des informations doivent être prises : à savoir, protéger par des mots de passe l'accès aux fichiers "clientèle" et aux logiciels, chiffrer les données bancaires stockées et sécuriser les accès et les liaisons aux sites de gestion de réservations en ligne (login, mots de passe, protocole sécurisé)", ajoute t-elle.
Enfin, la CNIL rappelle que les clients doivent être impérativement "informés par des formulaires de réservation en ligne, par les factures ou par voie d'affichage, de l'identité du responsable des traitements, de leurs finalités, des destinataires des données, du caractère obligatoire ou facultatif des réponses et des modalités d'exercice des droits d'accès, de rectification et d'opposition".