La commission nationale de l’informatique et des libertés (CNIL) a rendu le 14 novembre 2013 une nouvelle recommandation concernant le traitement des données relatives aux cartes de paiement utilisées à distance, et notamment sur internet. Ce nouveau texte remplace l’ancien qui datait de 2003. Les plaintes reçues par la commission et les différents contrôles menés ces dernières années ont en effet mis en lumière la nécessité d’une actualisation. Ainsi notamment, le périmètre de la recommandation est élargi et les mesures de sécurité sont renforcées.
Malgré le développement de solutions alternatives, la carte de paiement reste le moyen privilégié pour les transactions en ligne. Son utilisation sur le web continue cependant de susciter l’inquiétude chez les consommateurs. C’est pourquoi la sécurité et la confidentialité des données relatives aux cartes sont des éléments clés pour garantir la confiance dans le commerce électronique.
Dans cette perspective, la CNIL a consulté les principaux organismes concernés, parmi lesquels la Banque de France, le Groupement des cartes bancaires ainsi que les représentants des principales associations de consommateurs et des acteurs du e-commerce, pour proposer une refonte de la recommandation rendue sur ces questions en 2003.
Nous proposons de revenir sur les aspects essentiels du nouveau texte, en date du 14 novembre 2013.
Le champ d’application de la nouvelle recommandation de la CNIL
Est concerné le traitement des données relatives aux cartes de paiement utilisées pour toute vente à distance d’un bien ou d’un service conclue entre un professionnel et un consommateur.
A noter surtout que le périmètre de la recommandation de 2013 est élargi par rapport à celui retenu en 2003. En effet, le texte vise désormais les cartes interbancaires (Cartes Bleues, Visa, Mastercard, etc.) mais également les cartes privatives (émises par les commerçants ou par les établissements financiers spécialisés dans le crédit à la consommation) et accréditives (carte présentée par un adhérent à un fournisseur affilié au réseau de l’émetteur de la carte).
Les finalités de la collecte des numéros de cartes
La collecte des numéros de cartes ne peut avoir pour but que :
- la réalisation d’une transaction,
- la réservation d’un bien ou d’un service,
- la création d’un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant,
- l’offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement (cartes virtuelles, comptes rechargeables, etc.),
- et la lutte contre la fraude à la carte de paiement.
Attention :
Compte tenu de la sensibilité de cette donnée, le numéro de carte ne peut être utilisé comme identifiant commercial !
Les données pouvant être collectées
La commission souligne que les données nécessaires à la réalisation d’une transaction en ligne par carte de paiement sont :
- le numéro de la carte,
- sa date d’expiration,
- et le cryptogramme visuel.
L’identité du titulaire de la carte ne doit pas être collectée, sauf finalité déterminée et légitime, telle que la lutte contre la fraude.
Un commerçant en ligne ne peut pas non plus demander la transmission d’une copie de la carte, même si le cryptogramme visuel et une partie des numéros sont masqués.
Consentement requis du client en cas de conservation des données
Lorsque les données relatives à la carte sont conservées au-delà du temps strictement nécessaire à la réalisation de la transaction, pour simplifier un paiement ultérieur, ce traitement doit recevoir le consentement libre, spécifique et informé de la personne concernée.
Un tel consentement ne se présume pas et doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher (non précochée par défaut !).
La commission recommande également que le responsable du traitement intègre sur son site marchand un moyen de retirer, sans frais, le consentement ainsi donné.
Renforcement des mesures de sécurité
La confidentialité des données se doit d’être spécifiquement protégée. Le non-respect de cette obligation de sécurité est sanctionné par l’article 226-17 du Code pénal qui prévoit une peine de cinq ans d’emprisonnement et 300 000 euros d’amende.
Seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation des données relatives à la carte de paiement au niveau européen ou international (par exemple, le standard PCI DSS) doivent être utilisés.
POUR EN SAVOIR PLUS : des guides de gestion des risques sur la vie privée sont mis à la disposition par la commission.
Les responsables de traitement doivent par ailleurs adopter une politique de gestion stricte des habilitations de leur personnel, ne donnant accès au numéro de carte des clients que lorsque cela est rigoureusement nécessaire.
Les mesures de sécurité suivantes sont alors préconisées :
- le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage (obfuscation),
- le remplacement du numéro de carte par un numéro non signifiant (tokenisation).
Attention :
Les données relatives aux cartes de paiement ne doivent en aucun cas être enregistrées sur le terminal des clients (ordinateur, smartphone) car ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires.
La commission recommande enfin la mise en place de mesures de traçabilité permettant de détecter a posteriori toute utilisation illégitime des données et de l’imputer à la personne responsable.