Recommandation de la Cnil – L’autorité considère que la sécurité et la confidentialité des données relatives aux cartes de paiement constituent des éléments clés pour garantir la confiance dans le commerce électronique. A cet égard, elle avait adopté, le 19 juin 2003, une recommandation relative au « stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance » (1). Au regard de l’évolution du cadre légal et technologique depuis ces dix dernières années, la Cnil a récemment actualisé ses recommandations s’agissant des garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents à des données relatives à la carte de paiement (2), recommandations qui viennent d’être publiées au Journal Officiel.
Cette recommandation de la Cnil, qui vise les traitements de données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, apporte, tout d’abord, des précisions complémentaires sur les finalités couvertes.
A cet égard, le périmètre de cette nouvelle recommandation de la Cnil a été élargi au traitement de données relatives aux cartes privatives et accréditives.
Par ailleurs, certaines finalités de traitement des informations « CB » liées à la particularité des opérations à distance sont clairement mentionnées car considérées comme légitimes par la Cnil (la réservation d’un bien ou d’un service, ou encore la facilitation des éventuels achats ultérieurs du client sur le site du commerçant).
En outre, les modalités de mise en œuvre des traitements visant à lutter contre la fraude grâce au numéro de la carte de paiement sont précisées dans la recommandation de la Cnil.
Ensuite, la Cnil insiste sur le fait que le numéro de la carte de paiement ne peut pas être utilisé comme identifiant commercial et que seuls le numéro de la carte, la date d’expiration et le cryptogramme visuel constituent des données nécessaires à la réalisation d’une transaction à distance par carte de paiement, à l’exclusion de l’identité du titulaire de la carte et de la photocopie ou de la copie numérique de la carte de paiement qui ne doivent pas par principe être collectées.
S’agissant de la durée de conservation des données, la recommandation de la Cnil rappelle que les données relatives à la carte ne peuvent être conservées que pendant la durée nécessaire à la réalisation de la transaction. En revanche, elle ajoute que les commerçants en ligne peuvent conserver le numéro et la date de validité de la carte, à l’exclusion du cryptogramme visuel, à des fins de gestion des éventuelles réclamations des titulaires de cartes de paiement pendant treize ou quinze mois suivant la date de débit sous forme d’archives intermédiaires.
La Cnil poursuit ensuite en rappelant que toute utilisation du numéro de carte de paiement, quelle qu’en soit la finalité, doit faire l’objet d’une information complète et claire auprès des personnes conformément aux dispositions de la loi Informatique et libertés.
En outre, elle rappelle que lorsque les données relatives à la carte sont conservées au-delà du temps strictement nécessaire à la réalisation de la transaction, pour simplifier un paiement ultérieur, le responsable du traitement doit recueillir le consentement libre, spécifique et informé de la personne concernée mais ajoute qu’il doit intégrer directement sur son site marchand un moyen simple de retirer, sans frais, le consentement donné pour la conservation des données de la carte.
Enfin, outre les mesures de sécurité préconisées dans sa précédente recommandation, la Cnil renforce ses préconisations sur ce point. La recommandation de la Cnil prévoit notamment que :
- seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données au niveau européen ou international (comme le standard PCI DSS) soient utilisés ;
- des mesures « d’obfuscation » ou de « tokenisation » soient mises en œuvre par les responsables de traitement afin de restreindre les accès au numéro de la carte de paiement des clients ;
- le stockage des données relatives à la carte de paiement sur le terminal des clients soit interdit ;
- des mesures de traçabilité spécifiques soient mises en œuvre, lorsque les données relatives à la carte de paiement sont conservées afin de faciliter la réalisation ultérieure de transactions ;
- des moyens d’authentification renforcée du titulaire de la carte de paiement soient mis en place par les responsables de traitements ;
- une notification aux personnes dont les données ont fait l’objet d’une violation de sécurité soit également effectuée afin qu’elles puissent prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de leurs données (contestation de paiements frauduleux, mise en opposition de la carte, etc.) ;
- lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, des mesures de sécurité soient adoptées (comme la traçabilité des accès aux numéros de la carte) et qu’une solution alternative sécurisée, sans coût supplémentaire, soit proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.
Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique
(1) Recommandation de la Cnil, Délibération n° 2003-034 du 19-6-2003.
(2) Recommandation de la Cnil, Délibération n° 2013-358 du 14-11-2013.