Les contrôles opérés par la Commission nationale de l’informatique et des libertés (Cnil) ont souligné la nécessité d’actualiser les recommandations qui avait été adoptées en 2003 concernant l’utilisation d’une carte de paiement pour les ventes à distance.
La Cnil a consulté préalablement la Banque de France, le Groupement des cartes bancaires ainsi que les représentants des principales associations de consommateurs et des acteurs du e-commerce et de la vente à distance.
S’agissant de l’étendue de la nouvelle recommandation, toutes les cartes de paiement sont désormais concernées. C’est au niveau du recueil de données qu’une sélection est élaborée. La collecte du numéro de carte de paiement ne peut avoir que certaines finalités bien définies, de ce fait, l’utilisation du numéro de la carte de paiement comme identifiant commercial n’est pas légitime. Les données collectées lors d’un paiement, doivent être strictement nécessaires à la réalisation d’une transaction (le numéro de la carte, la date d’expiration, le cryptogramme visuel).
Cependant, un commerçant en ligne ne peut demander la transmission d’une copie de la carte de paiement.
Lorsque les données relatives à la carte sont conservées par l’e-commerçant pour offrir un service supplémentaire au client, le consentement préalable de celui-ci est obligatoire et doit prendre la forme d’un acte de volonté explicite.
La Cnil recommande également que l’e-commerçant intègre directement sur son site marchand un moyen simple de retirer le consentement donné.
Les mesures de sécurité applicables aux nouvelles recommandations sont renforcées notamment en matière de confidentialité des données relatives à la carte de paiement. La Cnil recommande la non-conservation de ces données sur le terminal des clients. En cas de collecte du numéro de carte effectuée par téléphone, une solution alternative sécurisée devrait être proposée aux clients.
La Cnil recommande que soient notifiées, au titulaire de la carte, les failles de sécurité afin qu’il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte.
De même, elle préconise pour ce titulaire, la mise en place de moyens d’authentification renforcée permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance.
Les évolutions législatives devraient conduire à une responsabilisation des acteurs qui pourrait passer par une intégration de la protection des données dès la conception des produits, des analyses de risque, ou l’élaboration de politiques « vie privée ».
27/02/2014