Marie-Avril Roux SteinkĂĽhler

18 mars 20185 Min

🇫🇷 - L’utilisation des données personnelles de la CB lors de paiements à distance

Mis Ă  jour : 7 juin 2021

Avec l’entrée en application du règlement européen sur la protection des données le 25 mai prochain, les systèmes de paiement en ligne doivent aussi être revus.

© rupixen.com

C’est la délibération n°2017-222 du 20 juillet 2017 de la CNIL, venue abroger la délibération n°2013-358 du 14 novembre 2013, qui définit en France les modalités de traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.

Comme pour tout autre traitement de données personnelles, seules les données adéquates, pertinentes et non excessives au regard de la finalité du traitement, peuvent être collectées et leur utilisation doit se limiter aux seules finalités pour lesquelles elles ont été expressément communiquées.

1. Dans quels cas les données de la carte bancaire peuvent-elles être collectées ?

Pour les finalités déterminées, explicites et légitimes que sont :

  • Payer un bien ou un service,RĂ©server un bien ou un service,

  • RĂ©gler en plusieurs Ă©chĂ©ances et de manière rĂ©gulière un abonnement souscrit en ligne,

  • Souscrire Ă  une offre de solutions de paiement dĂ©diĂ©es Ă  la vente Ă  distance par des prestataires de services de paiement,

  • Faciliter les Ă©ventuels achats ultĂ©rieurs sur le site commerçant,

  • Lutter contre la fraude Ă  la carte de paiement.

2. Quelles sont les données strictement nécessaires qui peuvent être récoltées ?

Par défaut :

  • Le numĂ©ro de la carte bancaire,

  • Sa date d’expiration,

  • Le cryptogramme visuel.

Cette liste est limitative. En d’autres termes, l’identité du titulaire de la carte bancaire qui est souvent demandée n’a pas à être collectée si elle n’est pas strictement nécessaire à la réalisation de la transaction en ligne ou si elle n’est pas justifiée par la poursuite d’une finalité déterminée et légitime telle que la lutte contre la fraude.

La CNIL précise que le numéro de la carte de paiement ne saurait être utilisé comme identifiant commercial et que la photocopie ou copie numérique du recto et/ou du verso de la carte de paiement ne saurait être exigée, même si le cryptogramme visuel et une partie des numéros sont noircis.

3. Combien de temps les données nécessaires peuvent-elles être conservées ?

Les données nécessaires ne doivent en principe pas être conservées au-delà de la transaction.

Le site marchand du commerçant doit obligatoirement comporter un moyen simple et sans frais de retrait du consentement initialement donné.

S’il est néanmoins possible de proposer au porteur de la carte de conserver ses données afin de faciliter ses achats ultérieurs, la conservation du cryptogramme est, dans tous les cas, interdite après la réalisation de la première transaction. Pour les autres données nécessaires, le consentement préalable du client est alors obligatoire et doit prendre la forme d’un acte de volonté explicite. Il ne se présume pas et ne saurait résulter d’une case pré-cochée par défaut. Dans le même sens, l’acceptation des conditions générales d’utilisation ou des conditions générales de vente ne saurait être assimilée à un acte de volonté explicite.

S’agissant de la lutte contre la fraude, la conservation des données relatives à la carte de paiement au-delà de la réalisation d'une transaction outrepasse le cadre du contrat. La conservation au-delà ne peut se faire que si elle participe de la réalisation d'un intérêt légitime du responsable de traitement et ce, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés des personnes en application de l'article 7 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée.

En résumé, la durée de conservation des données de la carte bancaire dépend des finalités poursuivies :

Version complétée du tableau de la CNIL

4. Quelles sont les obligations d’information ?

Toute utilisation du numéro de carte de paiement, quelle qu'en soit la finalité, doit faire l'objet d'une information complète et claire auprès des personnes.

De manière générale, la personne concernée est informée de l'identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des informations à renseigner, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de la durée de conservation des catégories de données traitées, de l'existence et des modalités d'exercice de ses droits d'accès, de rectification et d'opposition au traitement de ses données, dont celui de définir des directives relatives au sort de ses données à caractère personnel après la mort et le cas échéant des transferts de données hors Union européenne.

Dans l'hypothèse où les données relatives à la personne ont été communiquées à un tiers par le commerçant, celui-ci doit informer ce tiers sans délai de l'exercice du droit d'opposition ou de rectification par la personne concernée.

5. Comment les données nécessaires doivent-elles être sécurisées ?

Le titulaire de la carte bancaire doit être averti sans délai de toute compromission de ses données bancaires afin de pouvoir limiter les risques de réutilisation frauduleuse de sa carte.

Par ailleurs, la CNIL préconise que :

  • Les responsables de traitement recourent uniquement Ă  des dispositifs conformes Ă  des rĂ©fĂ©rentiels reconnus en matière de sĂ©curisation de donnĂ©es relatives Ă  la carte au niveau europĂ©en ou international (par exemple le standard PCI-DSS) ; qu’ils mettent en place une dĂ©marche de gestion des risques de manière Ă  dĂ©terminer les mesures de sĂ©curitĂ© organisationnelles et techniques nĂ©cessaires,

  • Le responsable de traitement et son/ses sous-traitants Ă©ventuels adoptent une politique de gestion stricte des habilitations de leurs personnels, ne donnant accès au numĂ©ro de la carte de paiement des clients que lorsque cela est rigoureusement nĂ©cessaire,

  • des mesures d'obfuscation (masquage de tout ou partie du numĂ©ro de la carte lors de son affichage ou de son stockage) ou de « tokenisation » (remplacement du numĂ©ro de carte par un numĂ©ro non signifiant) soient mises en Ĺ“uvre afin de limiter l'accès aux numĂ©ros de cartes,

  • le personnel soit sensibilisĂ© aux risques de fraudes en matière de donnĂ©es relatives Ă  la carte et aux mesures de sĂ©curitĂ© permettant de les Ă©viter,

  • ni le responsable de traitement, ni son ou ses sous-traitants Ă©ventuels, ni les clients ne procèdent Ă  l’enregistrement de donnĂ©es relatives Ă  la carte de paiement localement, sur l’équipement terminal du client qui n’est pas sĂ©curisĂ©,

  • les donnĂ©es transitant sur des canaux de communication publics ou susceptibles d'interception fassent l’objet de mesures techniques visant Ă  rendre ces donnĂ©es incomprĂ©hensibles Ă  toute personne non autorisĂ©e,l

  • es accès ou utilisations desdites donnĂ©es fassent l’objet de mesures de traçabilitĂ© spĂ©cifiques permettant de dĂ©tecter a posteriori tout accès ou utilisation illĂ©gitime des donnĂ©es et de l'imputer Ă  la personne responsable,

  • en cas d’utilisation desdites donnĂ©es pour une finalitĂ© de lutte contre la fraude, elles fassent l’objet de mesures techniques visant Ă  prĂ©venir toute rĂ©utilisation illĂ©gitime,

  • les moyens d’authentification soient renforcĂ©s afin de s’assurer de l’identitĂ© de l’auteur du paiement Ă  distance (traçabilitĂ©, masquage…),une solution sĂ©curisĂ©e alternative Ă  la collecte du numĂ©ro de la carte de paiement par tĂ©lĂ©phone soit amĂ©nagĂ©e lorsque les achats sont effectuĂ©s par tĂ©lĂ©phone ; Ă  dĂ©faut, la traçabilitĂ© des accès aux numĂ©ros de la carte doit ĂŞtre renforcĂ©e.

Auteures : Marion-BĂ©atrice Venencie-Nolte & Marie-Avril Roux