• Marie-Avril Roux SteinkĂŒhler

đŸ‡«đŸ‡· - L’utilisation des donnĂ©es personnelles de la CB lors de paiements Ă  distance

DerniĂšre mise Ă  jour : 7 juin 2021

Avec l’entrĂ©e en application du rĂšglement europĂ©en sur la protection des donnĂ©es le 25 mai prochain, les systĂšmes de paiement en ligne doivent aussi ĂȘtre revus.


Person buying online
© rupixen.com

C’est la dĂ©libĂ©ration n°2017-222 du 20 juillet 2017 de la CNIL, venue abroger la dĂ©libĂ©ration n°2013-358 du 14 novembre 2013, qui dĂ©finit en France les modalitĂ©s de traitement des donnĂ©es relatives Ă  la carte de paiement en matiĂšre de vente de biens ou de fourniture de services Ă  distance.


Comme pour tout autre traitement de donnĂ©es personnelles, seules les donnĂ©es adĂ©quates, pertinentes et non excessives au regard de la finalitĂ© du traitement, peuvent ĂȘtre collectĂ©es et leur utilisation doit se limiter aux seules finalitĂ©s pour lesquelles elles ont Ă©tĂ© expressĂ©ment communiquĂ©es.


1. Dans quels cas les donnĂ©es de la carte bancaire peuvent-elles ĂȘtre collectĂ©es ?


Pour les finalités déterminées, explicites et légitimes que sont :

  • Payer un bien ou un service,RĂ©server un bien ou un service,

  • RĂ©gler en plusieurs Ă©chĂ©ances et de maniĂšre rĂ©guliĂšre un abonnement souscrit en ligne,

  • Souscrire Ă  une offre de solutions de paiement dĂ©diĂ©es Ă  la vente Ă  distance par des prestataires de services de paiement,

  • Faciliter les Ă©ventuels achats ultĂ©rieurs sur le site commerçant,

  • Lutter contre la fraude Ă  la carte de paiement.


2. Quelles sont les donnĂ©es strictement nĂ©cessaires qui peuvent ĂȘtre rĂ©coltĂ©es ?


Par défaut :

  • Le numĂ©ro de la carte bancaire,

  • Sa date d’expiration,

  • Le cryptogramme visuel.

Cette liste est limitative. En d’autres termes, l’identitĂ© du titulaire de la carte bancaire qui est souvent demandĂ©e n’a pas Ă  ĂȘtre collectĂ©e si elle n’est pas strictement nĂ©cessaire Ă  la rĂ©alisation de la transaction en ligne ou si elle n’est pas justifiĂ©e par la poursuite d’une finalitĂ© dĂ©terminĂ©e et lĂ©gitime telle que la lutte contre la fraude.


La CNIL prĂ©cise que le numĂ©ro de la carte de paiement ne saurait ĂȘtre utilisĂ© comme identifiant commercial et que la photocopie ou copie numĂ©rique du recto et/ou du verso de la carte de paiement ne saurait ĂȘtre exigĂ©e, mĂȘme si le cryptogramme visuel et une partie des numĂ©ros sont noircis.


3. Combien de temps les donnĂ©es nĂ©cessaires peuvent-elles ĂȘtre conservĂ©es ?


Les donnĂ©es nĂ©cessaires ne doivent en principe pas ĂȘtre conservĂ©es au-delĂ  de la transaction.

Le site marchand du commerçant doit obligatoirement comporter un moyen simple et sans frais de retrait du consentement initialement donné.


S’il est nĂ©anmoins possible de proposer au porteur de la carte de conserver ses donnĂ©es afin de faciliter ses achats ultĂ©rieurs, la conservation du cryptogramme est, dans tous les cas, interdite aprĂšs la rĂ©alisation de la premiĂšre transaction. Pour les autres donnĂ©es nĂ©cessaires, le consentement prĂ©alable du client est alors obligatoire et doit prendre la forme d’un acte de volontĂ© explicite. Il ne se prĂ©sume pas et ne saurait rĂ©sulter d’une case prĂ©-cochĂ©e par dĂ©faut. Dans le mĂȘme sens, l’acceptation des conditions gĂ©nĂ©rales d’utilisation ou des conditions gĂ©nĂ©rales de vente ne saurait ĂȘtre assimilĂ©e Ă  un acte de volontĂ© explicite.


S’agissant de la lutte contre la fraude, la conservation des donnĂ©es relatives Ă  la carte de paiement au-delĂ  de la rĂ©alisation d'une transaction outrepasse le cadre du contrat. La conservation au-delĂ  ne peut se faire que si elle participe de la rĂ©alisation d'un intĂ©rĂȘt lĂ©gitime du responsable de traitement et ce, sous rĂ©serve de ne pas mĂ©connaĂźtre l'intĂ©rĂȘt ou les droits et libertĂ©s des personnes en application de l'article 7 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiĂ©e.

En résumé, la durée de conservation des données de la carte bancaire dépend des finalités poursuivies :

Version complétée du tableau de la CNIL


4. Quelles sont les obligations d’information ?


Toute utilisation du numéro de carte de paiement, quelle qu'en soit la finalité, doit faire l'objet d'une information complÚte et claire auprÚs des personnes.


De maniÚre générale, la personne concernée est informée de l'identité du responsable du traitement, des finalités du traitement, du caractÚre obligatoire ou facultatif des informations à renseigner, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de la durée de conservation des catégories de données traitées, de l'existence et des modalités d'exercice de ses droits d'accÚs, de rectification et d'opposition au traitement de ses données, dont celui de définir des directives relatives au sort de ses données à caractÚre personnel aprÚs la mort et le cas échéant des transferts de données hors Union européenne.


Dans l'hypothĂšse oĂč les donnĂ©es relatives Ă  la personne ont Ă©tĂ© communiquĂ©es Ă  un tiers par le commerçant, celui-ci doit informer ce tiers sans dĂ©lai de l'exercice du droit d'opposition ou de rectification par la personne concernĂ©e.


5. Comment les donnĂ©es nĂ©cessaires doivent-elles ĂȘtre sĂ©curisĂ©es ?


Le titulaire de la carte bancaire doit ĂȘtre averti sans dĂ©lai de toute compromission de ses donnĂ©es bancaires afin de pouvoir limiter les risques de rĂ©utilisation frauduleuse de sa carte.


Par ailleurs, la CNIL préconise que :

  • Les responsables de traitement recourent uniquement Ă  des dispositifs conformes Ă  des rĂ©fĂ©rentiels reconnus en matiĂšre de sĂ©curisation de donnĂ©es relatives Ă  la carte au niveau europĂ©en ou international (par exemple le standard PCI-DSS) ; qu’ils mettent en place une dĂ©marche de gestion des risques de maniĂšre Ă  dĂ©terminer les mesures de sĂ©curitĂ© organisationnelles et techniques nĂ©cessaires,

  • Le responsable de traitement et son/ses sous-traitants Ă©ventuels adoptent une politique de gestion stricte des habilitations de leurs personnels, ne donnant accĂšs au numĂ©ro de la carte de paiement des clients que lorsque cela est rigoureusement nĂ©cessaire,

  • des mesures d'obfuscation (masquage de tout ou partie du numĂ©ro de la carte lors de son affichage ou de son stockage) ou de « tokenisation » (remplacement du numĂ©ro de carte par un numĂ©ro non signifiant) soient mises en Ɠuvre afin de limiter l'accĂšs aux numĂ©ros de cartes,

  • le personnel soit sensibilisĂ© aux risques de fraudes en matiĂšre de donnĂ©es relatives Ă  la carte et aux mesures de sĂ©curitĂ© permettant de les Ă©viter,

  • ni le responsable de traitement, ni son ou ses sous-traitants Ă©ventuels, ni les clients ne procĂšdent Ă  l’enregistrement de donnĂ©es relatives Ă  la carte de paiement localement, sur l’équipement terminal du client qui n’est pas sĂ©curisĂ©,

  • les donnĂ©es transitant sur des canaux de communication publics ou susceptibles d'interception fassent l’objet de mesures techniques visant Ă  rendre ces donnĂ©es incomprĂ©hensibles Ă  toute personne non autorisĂ©e,l

  • es accĂšs ou utilisations desdites donnĂ©es fassent l’objet de mesures de traçabilitĂ© spĂ©cifiques permettant de dĂ©tecter a posteriori tout accĂšs ou utilisation illĂ©gitime des donnĂ©es et de l'imputer Ă  la personne responsable,

  • en cas d’utilisation desdites donnĂ©es pour une finalitĂ© de lutte contre la fraude, elles fassent l’objet de mesures techniques visant Ă  prĂ©venir toute rĂ©utilisation illĂ©gitime,

  • les moyens d’authentification soient renforcĂ©s afin de s’assurer de l’identitĂ© de l’auteur du paiement Ă  distance (traçabilitĂ©, masquage
),une solution sĂ©curisĂ©e alternative Ă  la collecte du numĂ©ro de la carte de paiement par tĂ©lĂ©phone soit amĂ©nagĂ©e lorsque les achats sont effectuĂ©s par tĂ©lĂ©phone ; Ă  dĂ©faut, la traçabilitĂ© des accĂšs aux numĂ©ros de la carte doit ĂȘtre renforcĂ©e.

Auteures : Marion-BĂ©atrice Venencie-Nolte & Marie-Avril Roux