Commercial

Paiements en ligne par carte bancaire : les nouvelles recommandations de la CNIL aux e-commerçants

Ajouter aux favoris

L'utilisation de la carte de paiement pour les transactions à distance est devenu le moyen de paiement privilégié. Mais les plaintes reçues ainsi que les différentes infractions constatées ont conduit la CNIL à actualiser ses précédentes recommandations dans ce domaine.

Collecte du numéro de carte

La collecte du numéro de carte de paiement ne peut avoir pour finalités que:

  • La réalisation d'une transaction ;
  • La réservation d'un bien ou d'un service ;
  • La création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant ;
  • L'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement ;
  • La lutte contre la fraude à la carte de paiement.

 

L'utilisation du numéro de la carte de paiement comme identifiant commercial n'est pas légitime.

Données pouvant être collectées lors d'un paiement

Selon la CNIL les seules données strictement nécessaires à la réalisation d'une transaction sont :

  • le numéro de la carte,
  • la date d'expiration et le cryptogramme visuel

 

La CNIL précise que d'autres données peuvent toutefois être demandées pour une finalité déterminée et légitime (notamment la lutte contre la fraude). Par contre, un commerçant en ligne ne peut pas demander la transmission d'une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

Conservation des données relatives à la carte

Lorsque les données relatives à la carte sont conservées par l'e-commerçant pour offrir un service supplémentaire au client, comme celui par exemple de ne pas avoir à ressaisir son numéro de carte lors d'un achat ultérieur, le consentement préalable de la personne est obligatoire.

Le consentement du client ne se présume pas. Il doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher (mais non d'une case pré-cochée par défaut). Par ailleurs, l'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes. Enfin, la CNIL recommande également que l'e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.

Des mesures de sécurité renforcées

Les nouvelles recommandations de la CNIL mettent l'accent sur la confidentialité des données relatives à la carte de paiement en particulier lorsqu'elles sont conservées pour les paiements ultérieurs ou pour la lutte contre la fraude.

Dans ces cas, les mesures de sécurité suivantes sont préconisées :

  • le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
  • le remplacement du numéro de carte par un numéro non signifiant,
  • la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable.

Par ailleurs, toujours dans la domaine de la sécurité, la CNIL recommande encore :

  • la non-conservation des données relatives à la carte de paiement sur le terminal des clients (smartphone, ordinateur) dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires ;
  • lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.
  • la possibilité, pour le titulaire de la carte, de recevoir une notification des failles de sécurité conduisant à la compromission de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.) ;
  • la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance.
Source : Délibération n° 2013-358 du 14 novembre 2013 abrogeant la délibération n° 2003-034 du 19 juin 2003 ; Recommandations du 25 février 2014.
Fiches pratiques
Modèles de docs

795
fiches

Pour répondre à tous les besoins du gérant de Sarl

Voir toutes les fiches pratiques

240
docs

Pour répondre à tous les besoins du gérant de Sarl

Voir tous les modèles de docs

SARL-info ®

Renseignements juridiques illimités par nos experts au téléphone.

En savoir plus 

Agenda

Votre agenda personnalisé avec alertes

en savoir