La collecte d’un numéro de carte de banque se justifie par le contrat d’achat ou la convention d’abonnement qui sous-tend la/les transaction(s) bancaire(s). Dans cette hypothèse, le fondement sera donc l’exécution du contrat.
Cependant, dans d’autres cas de figure, le consentement de la personne concernée pourrait être nécessaire ou le commerçant pourrait invoquer son l’intérêt légitime.
Prenons un exemple : l’achat d’un vêtement sur un site en ligne. Imaginons que le site e-commerce permette de conserver le numéro de carte de banque du consommateur afin de faciliter ses prochains achats éventuels. Selon la CNIL, cette conservation dépasse ce qui est nécessaire à l’exécution du contrat initial de vente. Dès lors, il faudra avoir obtenu au préalable le consentement du client.
Si, par contre, le consommateur a souscrit un abonnement qui lui donne droit à des services supplémentaires, par exemple un service de livraison express, le fondement sera différent. En effet, dans ce cadre, le responsable de traitement peut invoquer son intérêt légitime si l’on peut présumer, de cette souscription délibérée, l’intention du consommateur de s’inscrire dans une relation commerciale régulière. Par contre, la simple inscription à un programme de fidélité, en contrepartie d'avantages, n’est pas suffisante.
De la même manière, l’intérêt légitime du commerçant justifie que les données bancaires soient conservées au-delà de ce qui est nécessaire à la réalisation d’une transaction financière lorsque cette conservation vise à lutter contre la fraude.