L’utilisation des données personnelles de la carte bancaire dans le cadre des paiements à distance

La nouvelle donne

Avec l’entrée en application du règlement européen sur la protection des données le 25 mai prochain, les systèmes de paiement en ligne doivent aussi être revus.

C’est la délibération n°2017-222 du 20 juillet 2017 de la CNIL, venue abroger la délibération n°2013-358 du 14 novembre 2013, qui définit en France les modalités de traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.

Comme pour tout autre traitement de données personnelles, seules les données adéquates, pertinentes et non excessives au regard de la finalité du traitement, peuvent être collectées et leur utilisation doit se limiter aux seules finalités pour lesquelles elles ont été expressément communiquées.

1. Dans quels cas les données de la carte bancaire peuvent-elles être collectées ?

Pour les finalités déterminées, explicites et légitimes que sont :

  • payer un bien ou un service,
  • réserver un bien ou un service,
  • régler en plusieurs échéances et de manière régulière un abonnement souscrit en ligne,
  • souscrire à une offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement,
  • faciliter les éventuels achats ultérieurs sur le site commerçant,
  • lutter contre la fraude à la carte de paiement.

2. Quelles sont les données strictement nécessaires qui peuvent être récoltées ?

Par défaut :

  • le numéro de la carte bancaire,
  • sa date d’expiration,
  • le cryptogramme visuel.

Cette liste est limitative.

En d’autres termes, l’identité du titulaire de la carte bancaire qui est souvent demandée n’a pas à être collectée si elle n’est pas strictement nécessaire à la réalisation de la transaction en ligne ou si elle n’est pas justifiée par la poursuite d’une finalité déterminée et légitime telle que la lutte contre la fraude.

La CNIL précise que le numéro de la carte de paiement ne saurait être utilisé comme identifiant commercial et que la photocopie ou copie numérique du recto et/ou du verso de la carte de paiement ne saurait être exigée, même si le cryptogramme visuel et une partie des numéros sont noircis.

3. Combien de temps les données nécessaires peuvent-elles être conservées ?

Les données nécessaires ne doivent en principe pas être conservées au-delà de la transaction.

Le site marchand du commerçant doit obligatoirement comporter un moyen simple et sans frais de retrait du consentement initialement donné.

S’il est néanmoins possible de proposer au porteur de la carte de conserver ses données afin de faciliter ses achats ultérieurs, la conservation du cryptogramme est, dans tous les cas, interdite après la réalisation de la première transaction. Pour les autres données nécessaires, le consentement préalable du client est alors obligatoire et doit prendre la forme d’un acte de volonté explicite. Il ne se présume pas et ne saurait résulter d’une case pré-cochée par défaut. Dans le même sens, l’acceptation des conditions générales d’utilisation ou des conditions générales de vente ne saurait être assimilée à un acte de volonté explicite.

S’agissant de la lutte contre la fraude, la conservation des données relatives à la carte de paiement au-delà de la réalisation d’une transaction outrepasse le cadre du contrat. La conservation au-delà ne peut se faire que si elle participe de la réalisation d’un intérêt légitime du responsable de traitement et ce, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés des personnes en application de l’article 7 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée.

En résumé, la durée de conservation des données de la carte bancaire dépend des finalités poursuivies :

Version complétée du tableau de la CNIL, voir lien 

4. Quelles sont les obligations d’information ?

Toute utilisation du numéro de carte de paiement, quelle qu’en soit la finalité, doit faire l’objet d’une information complète et claire auprès des personnes.

De manière générale, la personne concernée est informée de l’identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des informations à renseigner, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de la durée de conservation des catégories de données traitées, de l’existence et des modalités d’exercice de ses droits d’accès, de rectification et d’opposition au traitement de ses données, dont celui de définir des directives relatives au sort de ses données à caractère personnel après la mort et le cas échéant des transferts de données hors Union européenne.

Dans l’hypothèse où les données relatives à la personne ont été communiquées à un tiers par le commerçant, celui-ci doit informer ce tiers sans délai de l’exercice du droit d’opposition ou de rectification par la personne concernée.

5. Comment les données nécessaires doivent-elles être sécurisées ?

Le titulaire de la carte bancaire doit être averti sans délai de toute compromission de ses données bancaires afin de pouvoir limiter les risques de réutilisation frauduleuse de sa carte.

Par ailleurs, la CNIL préconise que :

  • les responsables de traitement recourent uniquement à des dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI-DSS) ; qu’ils mettent en place une démarche de gestion des risques de manière à déterminer les mesures de sécurité organisationnelles et techniques nécessaires,
  • le responsable de traitement et son/ses sous-traitants éventuels adoptent une politique de gestion stricte des habilitations de leurs personnels, ne donnant accès au numéro de la carte de paiement des clients que lorsque cela est rigoureusement nécessaire,
  • des mesures d’obfuscation (masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage) ou de « tokenisation » (remplacement du numéro de carte par un numéro non signifiant) soient mises en œuvre afin de limiter l’accès aux numéros de cartes,
  • le personnel soit sensibilisé aux risques de fraudes en matière de données relatives à la carte et aux mesures de sécurité permettant de les éviter,
  • ni le responsable de traitement, ni son ou ses sous-traitants éventuels, ni les clients ne procèdent à l’enregistrement de données relatives à la carte de paiement localement, sur l’équipement terminal du client qui n’est pas sécurisé,
  • les données transitant sur des canaux de communication publics ou susceptibles d’interception fassent l’objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée,
  • les accès ou utilisations desdites données fassent l’objet de mesures de traçabilité spécifiques permettant de détecter a posteriori tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable,
  • en cas d’utilisation desdites données pour une finalité de lutte contre la fraude, elles fassent l’objet de mesures techniques visant à prévenir toute réutilisation illégitime,
  • les moyens d’authentification soient renforcés afin de s’assurer de l’identité de l’auteur du paiement à distance (traçabilité, masquage…),
  • une solution sécurisée alternative à la collecte du numéro de la carte de paiement par téléphone soit aménagée lorsque les achats sont effectués par téléphone ; à défaut, la traçabilité des accès aux numéros de la carte doit être renforcée.