[otan] pour moi, c'est légal si le client en est informé, apparemment :
http://www.juripole.fr/Textes/deliberation-03-034.php

Ceci dit, dans ce même texte :

dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée

Passons sur "crypter de manière irréversible" (comme quoi, ceux qui rédigent les textes sont toujours aussi incompétents), mais c'est possible que le fait d'avoir stocké ça en clair fasse qu'ils soient dans l'illégalité.