Paiements en ligne par carte bancaire : les nouvelles recommandations de la CNIL aux e-commerçants
- Article publié le 4 mars 2014
L'utilisation de la carte de paiement pour les transactions à distance est devenu le moyen de paiement privilégié. Mais les plaintes reçues ainsi que les différentes infractions constatées ont conduit la CNIL à actualiser ses précédentes recommandations dans ce domaine.
Collecte du numéro de carte
La collecte du numéro de carte de paiement ne peut avoir pour finalités que:
- La réalisation d'une transaction ;
- La réservation d'un bien ou d'un service ;
- La création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant ;
- L'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement ;
- La lutte contre la fraude à la carte de paiement.
Données pouvant être collectées lors d'un paiement
Selon la CNIL les seules données strictement nécessaires à la réalisation d'une transaction sont :
- le numéro de la carte,
- la date d'expiration et le cryptogramme visuel
Conservation des données relatives à la carte
Lorsque les données relatives à la carte sont conservées par l'e-commerçant pour offrir un service supplémentaire au client, comme celui par exemple de ne pas avoir à ressaisir son numéro de carte lors d'un achat ultérieur, le consentement préalable de la personne est obligatoire.
Des mesures de sécurité renforcées
Les nouvelles recommandations de la CNIL mettent l'accent sur la confidentialité des données relatives à la carte de paiement en particulier lorsqu'elles sont conservées pour les paiements ultérieurs ou pour la lutte contre la fraude.
Dans ces cas, les mesures de sécurité suivantes sont préconisées :
- le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
- le remplacement du numéro de carte par un numéro non signifiant,
- la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable.
Par ailleurs, toujours dans la domaine de la sécurité, la CNIL recommande encore :
- la non-conservation des données relatives à la carte de paiement sur le terminal des clients (smartphone, ordinateur) dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires ;
- lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.
- la possibilité, pour le titulaire de la carte, de recevoir une notification des failles de sécurité conduisant à la compromission de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.) ;
- la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance.