Données relatives à la carte de paiement dans le cadre de la vente à distance

Par sa délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, la CNIL abroge sa délibération n° 2003-034 qui datait du 19 juin 2003.

La CNIL indique avoir pris en compte les plaintes qu’elle a reçues, les différents contrôles, les commentaires des organismes consultés pour actualiser ses recommandations « afin d’apporter des réponses concrètes aux différentes parties prenantes et de prendre en compte l’évolution du cadre légal et technologique ».

Données collectées

Sont considérées comme des données « nécessaires » : le numéro de la carte, la date d’expiration et le cryptogramme visuel.

L’identité du titulaire de la carte, n’est pas nécessaire et ne peut donc être collectée que si la poursuite d’une finalité déterminée et légitime le justifie, telle que la lutte contre la fraude.

On ne peut en aucun cas demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement (même si le cryptogramme visuel et une partie des numéros sont masqués).

Durée de conservation des données

En principe il s’agit du « délai nécessaire à la réalisation de la transaction », c’est-à-dire au paiement effectif qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation.

Cependant les commerçants en ligne peuvent conserver le numéro de carte et la date de validité de celle-ci, à l’exclusion du cryptogramme visuel, pour la gestion des éventuelles réclamations des titulaires de cartes de paiement. Les données peuvent être conservées, dans les archives intermédiaires treize mois à quinze mois suivant la date de débit. 

Dans les cas où les données seraient collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu’à la clôture du compte puis, le cas échéant, archivées conformément aux obligations légales en la matière.

La conservation du cryptogramme est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs.

Dans les cas où le numéro de la carte serait utilisé à d’autres fins, telles que la constitution d’un compte client visant à faciliter les achats ultérieurs ou la lutte contre la fraude, sa durée de conservation ne saurait excéder la durée nécessaire à l’accomplissement de cette finalité.

Droits des personnes

La CNIL rappelle les principes d’information des personnes concernée en les appliquant aux données de cartes bancaires. Il faut donc une information distincte sur ces données

La CNIL impose un « consentement libre, spécifique et informé » pour toute conservation des données aux fins de simplifier un paiement ultérieur. Le consentement ne se présume pas et doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher (non pré-cochée par défaut). L’acceptation des conditions générales d’utilisation ou de vente n’est pas suffisante. La CNIL demande en outre qu’il y ait sur le site marchand un moyen simple de retirer, sans frais, le consentement donné à cette fin.

Mesures de sécurité

La commission insiste sur la nécessité de mettre en œuvre des mesures de sécurité adéquates compte tenu du caractère sensible de ces données

Elle fait les recommandations suivantes:

• Utiliser des services de paiement en ligne sécurisés et conformes à l’état de l’art et à la réglementation applicable. « A cet égard, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI DSS) doivent être utilisés ». De plus, les responsables de traitement doivent notamment mettre en œuvre d’une démarche de gestion des risques.
• Adopter « une politique de gestion stricte des habilitations de leurs personnels ne donnant accès au numéro de la carte de paiement des clients que lorsque cela est rigoureusement nécessaire. Des mesures « d’obfuscation » (masquage de tout ou partie du numéro de la carte lors de leur affichage ou de leur stockage) ou de « tokenisation » (remplacement du numéro de carte par un numéro non signifiant) doivent être mises en œuvre afin de limiter l’accès aux numéros de carte ». Le personnel doit être sensibilisé aux risques de fraudes et aux mesures de sécurité permettant de les éviter ;
•  N’enregistrer en aucun cas des données relatives à la carte de paiement sur le terminal des clients;
• Prendre pour la collecte de données en ligne, les mesures nécessaires pour préserver la confidentialité. « Les données transitant sur des canaux de communication publics ou interceptables doivent notamment faire l’objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée ».
• Lorsque les données sont conservées afin de faciliter la réalisation ultérieure de transactions, « les accès ou utilisations de ces données doivent faire l’objet de mesures de traçabilité spécifiques permettant de détecter a posteriori tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable ».
• Les données conservées pour la lutte contre la fraude, doivent faire l’objet de mesures techniques visant à prévenir toute réutilisation illégitime. Par exemple en stockant les numéros de la carte de paiement sous forme hachée avec utilisation d’une clé secrète.
• Mettre en en place des moyens d’authentification renforcée du titulaire de la carte de paiement
• Pour la collecte des données par téléphone, mettre en place des mesures de sécurité telle que la traçabilité des accès aux numéros de la carte. Une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.

Notification de failles

La CNIL  estime nécessaire une notification aux personnes dont les données ont fait l’objet d’une violation de sécurité afin qu’elles puissent prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de leurs données (contestation de paiements frauduleux, mise en opposition de la carte, etc.).