RGPD et nécessité du traitement : les limites du paiement dématérialisé obligatoire (2026)
🟠 Le paiement par carte, un traitement de données personnelles encadré
Le recours au paiement par carte bancaire implique nécessairement une collecte de données à caractère personnel. Cette pratique, largement généralisée, soulève toutefois des interrogations au regard du RGPD.
Une décision du Raad van State (Pays-Bas) du 11 février 2026 apporte un éclairage important sur la licéité de ces traitements.
En l’espèce, un cinéma avait supprimé tout paiement en espèces, imposant exclusivement le paiement par carte ou en ligne, ce qui impliquait la collecte de certaines données (date, montant, informations partielles de carte).
🟠 Une contestation fondée sur la nécessité du traitement
Un client a contesté ce dispositif en estimant que la collecte de ses données n’était pas nécessaire pour accéder au service.
La question centrale était donc la suivante :
le paiement dématérialisé obligatoire est-il nécessaire à l’exécution du contrat ?
Le requérant soutenait que des alternatives moins intrusives existaient, notamment le paiement en espèces, permettant de limiter la collecte de données.
🟠 Le rejet de la qualification de données sensibles
L’argument selon lequel les données collectées permettraient de déduire des informations sensibles (opinions, orientation sexuelle) est écarté.
La juridiction considère que ce raisonnement n’est pas suffisamment démontré.
👉 Le litige se recentre ainsi sur la licéité du traitement au regard des principes généraux du RGPD.
🟠 Une exigence renforcée de justification de la base légale
Le Raad van State adopte une approche stricte concernant la base légale du traitement.
L’existence d’un contrat entre le client et le cinéma ne suffit pas à justifier la collecte de données. Encore faut-il démontrer que le paiement par carte est nécessaire à l’exécution de ce contrat.
Or, le cinéma invoquait des raisons de sécurité (réduction des risques de vol, protection du personnel). Ces arguments sont jugés insuffisants.
👉 Le juge exige des éléments objectifs et concrets, tels qu’un contexte particulier justifiant ce choix.
🟠 Le rôle central du principe de minimisation et de finalité
La décision insiste sur un point essentiel : plus il existe d’alternatives permettant de limiter la collecte de données, plus le responsable de traitement doit justifier son choix.
En l’espèce, la possibilité de payer en espèces constituait une alternative crédible et moins intrusive.
La seule affirmation selon laquelle l’absence d’argent liquide réduit les risques de vol ne suffit pas à établir un objectif légitime.
👉 Le traitement est donc jugé disproportionné au regard des finalités invoquées.
🟠 Vers une remise en cause du paiement dématérialisé obligatoire ?
Cette décision met en lumière une exigence croissante de justification des pratiques numériques.
Elle suggère que le paiement par carte ne peut être imposé de manière systématique sans démonstration précise de sa nécessité.
En l’absence d’une telle justification, le recours au paiement dématérialisé devrait rester facultatif.
🟠 Conclusion : la nécessité au cœur de la licéité des traitements
Cette décision rappelle un principe fondamental du RGPD : un traitement de données n’est licite que s’il est strictement nécessaire et proportionné.
Le paiement par carte bancaire, bien que courant, ne déroge pas à cette exigence.👉 Les professionnels doivent désormais être en mesure de démontrer concrètement l’absence d’alternative moins intrusive, sous peine de voir leurs p