Le secteur bancaire n’en finit pas de faire l’objet d’évolutions de sa réglementation, la dernière en date concernant une nouvelle recommandation de la Cnil relative au paiement à distance (1), qui vient modifier une précédente recommandation datant de 2003. Cette recommandation a fait l’objet d’une concertation impliquant, outre la Cnil, la Banque de France, les associations de consommateurs, des acteurs du e-commerce et de la vente à distance ainsi que le Groupement carte bancaire, selon le communiqué de la Cnil.
Concernant, tout d’abord, le champ d’application de cette recommandation, celle-ci se trouve élargi à l’ensemble des cartes bancaires en circulation, qu’elles soient interbancaires ou non.
Le numéro de la carte ne peut être collecté que pour des besoins ayant trait aux opérations de paiement (transactions, réservation de biens ou de services, création de comptes de paiement en ligne, offres de paiement à distance proposées par les acteurs du secteur bancaire, comme les prestataires de services de paiement et, enfin, lutte contre le blanchiment).
La Cnil indique ainsi que toute autre utilisation de ce numéro est interdite et qu’il ne peut donc pas constituer un identifiant commercial permettant de désigner une personne physique par ce numéro.
Les commerçants en ligne se voient également interdits de toute collecte d’une copie de la carte bancaire, y compris si les numéros qui y figurent sont partiellement masqués, les seules données pouvant être demandées au porteur de la carte étant son numéro, sa date d’expiration et le cryptogramme visuel.
Si l’e-commerçant souhaite pouvoir conserver le numéro de la carte de son client, pour lui éviter, par exemple, de le ressaisir lors d’un prochain achat, il doit obligatoirement obtenir le consentement exprès de celui-ci, ce consentement ne se présumant pas.
Comme souvent, en pareil cas, le consentement peut prendre la forme d’une case à cocher, le pré-cochage de celle-ci par le commerçant étant évidemment interdit. De plus, la Cnil recommande que l’e-commerçant mette à disposition de ses clients un moyen simple d’annuler l’autorisation qu’il a pu donner à un moment.
Le secteur bancaire sera plus particulièrement intéressé par les recommandations de la Cnil sur la confidentialité des données relatives à la carte, puisque les e-commerçants devront prendre des mesures de nature, par exemple, à masquer tout ou partie du numéro de la carte lors de son affichage ou de son stockage, ), à remplacer les numéros de cartes par des numéros non signifiants ou à mettre en œuvre les mesures permettant de détecter les accès frauduleux ou illégitimes et à les imputer à une personne responsable.
Mais le secteur bancaire devra également prendre en compte, pour ce qui concerne ses propres activités, la recommandation selon laquelle les numéros de cartes bancaires ne doivent pas être stockables et, en conséquence, stockés sur les terminaux mobiles des clients, ces terminaux n’offrant pas, selon la Cnil, les moyens d’assurer la sécurité des données bancaires.
La question épineuse, et non réellement tranchée par cette recommandation, est celle de la communication des numéros de cartes, voire le cryptogramme qui lui est attaché, ainsi que de la date d’expiration, lors de transactions réalisées par téléphone. En effet, la Cnil pose le principe selon lequel une solution technique alternative, gratuite pour le client, doit lui être proposée pour lui permettre de communiquer ces informations en toute sécurité. Cependant, la Cnil ne donne ni de date butoir de mise en œuvre, ni d’indication sur ce que pourrait être cette solution technique.
Par ailleurs, le secteur bancaire est clairement directement concerné par la dernière partie de la recommandation de la Cnil puisqu’il lui est demandé d’anticiper une évolution réglementaire qui concernera la notification des failles de sécurité.
Comme c’est déjà le cas de longue date aux Etats-Unis, les entreprises du secteur bancaire devraient, sans attendre que cette évolution réglementaire n’arrive en France, révéler les failles qui conduiraient à la compromission des données bancaires des clients et prendre els mesures appropriées pour limiter les risques de réutilisation frauduleuse des cartes.
Enfin, le secteur bancaire est invité à modifier sa démarche en matière de protection des données personnelles, puisqu’il lui est proposé, comme aux autres acteurs impliqués par les opérations de commerce électronique, à développer une démarche de type « Privacy by design » et d’élaboration de politiques « Vie privée », et ce, dès la conception des produits permettant la collecte et le stockage des données personnelles de leurs clients.
Frédéric Forster
Lexing Droit Télécoms
(1) Délib. n° 2013-358 du 14-11-2013