Dix ans après l’adoption d’une première recommandation, l’utilisation de la carte de paiement pour les transactions à distance reste le moyen de paiement privilégié. Les plaintes reçues ainsi que les différents contrôles menés par la CNIL ont souligné la nécessité d’actualiser ces recommandations de 2003.

Une concertation préalable avec les acteurs concernés

Afin d’apporter des réponses concrètes aux différentes parties prenantes et de prendre en compte l’évolution du cadre légal et technologique, la CNIL a consulté la Banque de France, le Groupement des cartes bancaires ainsi que les représentants des principales associations de consommateurs et des acteurs du e-commerce et de la vente à distance.

L’élargissement du périmètre de la recommandation et les finalités

Toutes les cartes de paiement sont désormais concernées, qu’elles soient interbancaires, accréditives ou privatives.
La collecte du numéro de carte de paiement ne peut avoir pour finalités que :

  • La réalisation d’une transaction
  • La réservation d’un bien ou d’un service
  • La création d’un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant
  • L’offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement
  • La lutte contre la fraude à la carte de paiement

L’utilisation du numéro de la carte de paiement comme identifiant commercial n’est donc pas légitime.

Les données pouvant être collectées ou non lors d’un paiement

Les données strictement nécessaires à la réalisation d’une transaction sont :

  • le numéro de la carte,
  • la date d’expiration et le cryptogramme visuel
  • d’autres données peuvent être demandées pour une finalité déterminée et légitime (notamment la lutte contre la fraude).

En revanche, un commerçant en ligne ne peut pas demander la transmission d’une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

Les conditions de recueil du consentement du client pour la création d’un compte de paiement

Lorsque les données relatives à la carte sont conservées par l’e-commerçant pour offrir un service supplémentaire au client, tel que ne pas avoir à ressaisir son numéro de carte lors d’un achat ultérieur, le consentement préalable de la personne est obligatoire.
Celui-ci ne se présume pas et doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher et non pré-cochée par défaut. L’acceptation des conditions générales d’utilisation ou de vente n’est pas considérée comme une modalité suffisante du recueil du consentement des personnes.
La CNIL recommande également que l’e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.

Des mesures de sécurité renforcées

Les nouvelles recommandations mettent l’accent sur la confidentialité des données relatives à la carte de paiement en particulier lorsqu’elles sont conservées pour les paiements ultérieurs ou pour la lutte contre la fraude.
Dans ces cas, les mesures de sécurité suivantes sont préconisées :

  • le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
  • le remplacement du numéro de carte par un numéro non signifiant,
  • la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable.

La CNIL recommande la non-conservation des données relatives à la carte de paiement sur le terminal des clients (smartphone, ordinateur) dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires.
Lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.

Une anticipation sur les évolutions réglementaires à venir

La CNIL recommande que le titulaire de la carte reçoive la notification des failles de sécurité conduisant à la compromission de ses données bancaires afin qu’il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.).
De même, elle préconise la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance.
De manière générale, les évolutions de la législation devraient conduire à une plus grande responsabilisation des acteurs qui pourrait passer par une intégration de la protection des données dès la conception des produits ( » privacy by design « ), des analyses de risque, ou l’élaboration de politiques  » vie privée « .