Carte bancaire et paiement en ligne, les recommandations de la CNIL

L’utilisation d’une carte bancaire pour le paiement à distance est monnaie courante sur Internet. Cependant, le dispositif intéresse de près la CNIL, qui vient de dépoussiérer sa recommandation en la matière, publiée voilà 10 ans.


C’est un flot de plaintes qui a motivé la CNIL à mettre à jour sa recommandation publiée voilà 10 ans. Après concertation avec la Banque de France, le Groupement des cartes bancaires ainsi que des représentants des principales associations de consommateurs et des acteurs du e-commerce et de la vente à distance, la Commission nationale de l'informatique et des libertés explique que désormais le numéro des cartes ne peut en aucun cas être utilisé comme identifiant.

À contrario, la collecte de ces précieuses données ne peut avoir pour finalités que :

• La réalisation d'une transaction,
  
• La réservation d'un bien ou d'un service,
  
• La création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant,
  
• L'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement,
  
• La lutte contre la fraude à la carte de paiement.

À ce stade, le commerçant ne peut exiger du consommateur la transmission d’une copie de la carte, « même si le cryptogramme visuel et une partie des numéros sont masqués ».

De la conservation des numéros de carte

De nombreuses boutiques en ligne conservent en mémoire les données de la carte pour éviter au client d’avoir à ressaisir ces informations lors des transactions ultérieures. Dans une telle hypothèse, précise la CNIL, il faut préalablement recueillir le consentement exprès de la personne, « par exemple au moyen d'une case à cocher et non précochée par défaut ». Ainsi, « l'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes ». La CNIL recommande de même que l’e-commerçant offre « un moyen simple de retirer, sans frais, le consentement ainsi donné. »

Dans ces mêmes cas, la CNIL demande à ce que la confidentialité des données soit assurée. Comment ? En masquant « tout ou partie du numéro de la carte lors de son affichage ou de son stockage », en « remplacement du numéro de carte par un numéro non signifiant » et en assurant la traçabilité afin de détecter les usages illégitimes. « La CNIL recommande la non-conservation des données relatives à la carte de paiement sur le terminal des clients (smartphone, ordinateur) dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires ».

Dans l’hypothèse où le numéro est collecté par téléphone, la Commission recommande « une solution alternative sécurisée, sans coût supplémentaire », du moins pour les clients « qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen. »

Alerter le porteur de la carte en cas de violation de ses données personnelles

Surtout, l'institution recommande aux cybermarchands d’anticiper la législation à venir. Spécialement, elle demande à ce que chaque consommateur soit averti des failles de sécurité affectant ses données bancaires, et ce, « afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.. ».

L’article 32 du projet de règlement européen relatif aux données personnelles, toujours en discussion devant les autorités européennes, prévoit que le responsable d’un traitement de données personnelles alerte les autorités compétentes des fuites dont serait victime sa base. Il doit également notifier la personne concernée « sans retard », sauf cependant « si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées » en rendant « les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès ».