{"id":5146,"date":"2014-02-25T20:09:38","date_gmt":"2014-02-25T19:09:38","guid":{"rendered":"http:\/\/www.net.pf\/?p=5146"},"modified":"2017-06-06T22:59:46","modified_gmt":"2017-06-07T08:59:46","slug":"cnil-utilisation-des-cartes-bancaires-pour-le-paiement-a-distance-nouvelle-recommandation","status":"publish","type":"post","link":"https:\/\/www.service-public.pf\/dgen\/cnil-utilisation-des-cartes-bancaires-pour-le-paiement-a-distance-nouvelle-recommandation\/","title":{"rendered":"CNIL – Utilisation des cartes bancaires pour le paiement \u00e0 distance : nouvelle recommandation"},"content":{"rendered":"
\n

Dix ans apr\u00e8s l’adoption d’une premi\u00e8re recommandation, l’utilisation de la carte de paiement pour les transactions \u00e0 distance reste le moyen de paiement privil\u00e9gi\u00e9. Les plaintes re\u00e7ues ainsi que les diff\u00e9rents contr\u00f4les men\u00e9s par la CNIL ont soulign\u00e9 la n\u00e9cessit\u00e9 d’actualiser ces recommandations de 2003.<\/p>\n<\/div>\n

\n

Une concertation pr\u00e9alable avec les acteurs concern\u00e9s<\/h3>\n

Afin d’apporter des r\u00e9ponses concr\u00e8tes aux diff\u00e9rentes parties prenantes et de prendre en compte l’\u00e9volution du cadre l\u00e9gal et technologique, la CNIL a consult\u00e9 la Banque de France, le Groupement des cartes bancaires ainsi que les repr\u00e9sentants des principales associations de consommateurs et des acteurs du e-commerce et de la vente \u00e0 distance.<\/p>\n

L’\u00e9largissement du p\u00e9rim\u00e8tre de la recommandation et les finalit\u00e9s<\/h3>\n

Toutes les cartes de paiement sont d\u00e9sormais concern\u00e9es, qu’elles soient interbancaires, accr\u00e9ditives ou privatives.
\nLa collecte du num\u00e9ro de carte de paiement ne peut avoir pour finalit\u00e9s que\u00a0:<\/span><\/p>\n

    \n
  • La r\u00e9alisation d’une transaction<\/li>\n
  • La r\u00e9servation d’un bien ou d’un service<\/li>\n
  • La cr\u00e9ation d’un compte de paiement pour faciliter les achats ult\u00e9rieurs sur le site du commer\u00e7ant<\/li>\n
  • L’offre de solutions de paiement d\u00e9di\u00e9es \u00e0 la vente \u00e0 distance par des prestataires de services de paiement<\/li>\n
  • La lutte contre la fraude \u00e0 la carte de paiement<\/li>\n<\/ul>\n

    L’utilisation du num\u00e9ro de la carte de paiement comme identifiant commercial n’est donc pas l\u00e9gitime.<\/p>\n

    Les donn\u00e9es pouvant \u00eatre collect\u00e9es ou non lors d’un paiement<\/h3>\n

    Les donn\u00e9es strictement n\u00e9cessaires \u00e0 la r\u00e9alisation d’une transaction sont\u00a0:<\/p>\n

      \n
    • le num\u00e9ro de la carte,<\/li>\n
    • la date d’expiration et le cryptogramme visuel<\/li>\n
    • d’autres donn\u00e9es peuvent \u00eatre demand\u00e9es pour une finalit\u00e9 d\u00e9termin\u00e9e et l\u00e9gitime (notamment la lutte contre la fraude).<\/li>\n<\/ul>\n

      En revanche, un commer\u00e7ant en ligne ne peut pas demander la transmission d’une copie de la carte de paiement m\u00eame si le cryptogramme visuel et une partie des num\u00e9ros sont masqu\u00e9s.<\/p>\n

      Les conditions de recueil du consentement du client pour la cr\u00e9ation d’un compte de paiement<\/h3>\n

      Lorsque les donn\u00e9es relatives \u00e0 la carte sont conserv\u00e9es par l’e-commer\u00e7ant pour offrir un service suppl\u00e9mentaire au client, tel que ne pas avoir \u00e0 ressaisir son num\u00e9ro de carte lors d’un achat ult\u00e9rieur, le consentement pr\u00e9alable de la personne est obligatoire.
      \nCelui-ci ne se pr\u00e9sume pas et doit prendre la forme d’un acte de volont\u00e9 explicite, par exemple au moyen d’une case \u00e0 cocher et non pr\u00e9-coch\u00e9e par d\u00e9faut. L’acceptation des conditions g\u00e9n\u00e9rales d’utilisation ou de vente n’est pas consid\u00e9r\u00e9e comme une modalit\u00e9 suffisante du recueil du consentement des personnes.
      \n<\/span>La CNIL recommande \u00e9galement que l’e-commer\u00e7ant int\u00e8gre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donn\u00e9.<\/span><\/p>\n

      Des mesures de s\u00e9curit\u00e9 renforc\u00e9es<\/h3>\n

      Les nouvelles recommandations mettent l’accent sur la confidentialit\u00e9 des donn\u00e9es relatives \u00e0 la carte de paiement en particulier lorsqu’elles sont conserv\u00e9es pour les paiements ult\u00e9rieurs ou pour la lutte contre la fraude.
      \nDans ces cas, les mesures de s\u00e9curit\u00e9 suivantes sont pr\u00e9conis\u00e9es\u00a0:<\/p>\n

        \n
      • le masquage de tout ou partie du num\u00e9ro de la carte lors de son affichage ou de son stockage,<\/li>\n
      • le remplacement du num\u00e9ro de carte par un num\u00e9ro non signifiant,<\/li>\n
      • la tra\u00e7abilit\u00e9 permettant de d\u00e9tecter tout acc\u00e8s ou utilisation ill\u00e9gitime des donn\u00e9es et de l’imputer \u00e0 la personne responsable.<\/li>\n<\/ul>\n

        La CNIL recommande la non-conservation des donn\u00e9es relatives \u00e0 la carte de paiement\u00a0sur le terminal des clients (smartphone, ordinateur) dans la mesure o\u00f9 ces terminaux ne sont pas con\u00e7us pour assurer la s\u00e9curit\u00e9 des donn\u00e9es bancaires.
        \nLorsque la collecte du num\u00e9ro de la carte de paiement est effectu\u00e9e par t\u00e9l\u00e9phone, une solution alternative s\u00e9curis\u00e9e, sans co\u00fbt suppl\u00e9mentaire, devrait \u00eatre propos\u00e9e aux clients qui ne souhaitent pas transmettre les donn\u00e9es relatives \u00e0 leurs cartes par ce moyen.<\/span><\/p>\n

        Une anticipation sur les \u00e9volutions r\u00e9glementaires \u00e0 venir<\/h3>\n

        La CNIL recommande que le titulaire de la carte re\u00e7oive la notification des failles de s\u00e9curit\u00e9 conduisant \u00e0 la compromission de ses donn\u00e9es bancaires afin qu’il prenne les mesures appropri\u00e9es pour limiter les risques de r\u00e9utilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.).
        \nDe m\u00eame, elle pr\u00e9conise la mise en place de moyens d’authentification renforc\u00e9e du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien \u00e0 l’origine de l’acte de paiement \u00e0 distance.
        \n<\/span>De mani\u00e8re g\u00e9n\u00e9rale, les \u00e9volutions de la l\u00e9gislation devraient conduire \u00e0 une plus grande responsabilisation des acteurs qui pourrait passer par une int\u00e9gration de la protection des donn\u00e9es d\u00e8s la conception des produits (\u00a0\u00bb\u00a0privacy by design\u00a0\u00ab\u00a0), des analyses de risque, ou l’\u00e9laboration de politiques \u00a0\u00bb\u00a0vie priv\u00e9e\u00a0\u00ab\u00a0.<\/span><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

        Dix ans apr\u00e8s l’adoption d’une premi\u00e8re recommandation, l’utilisation de la carte de paiement pour les transactions \u00e0 distance reste le moyen de paiement privil\u00e9gi\u00e9. Les plaintes re\u00e7ues ainsi que les diff\u00e9rents contr\u00f4les men\u00e9s par la CNIL ont soulign\u00e9 la n\u00e9cessit\u00e9 d’actualiser ces recommandations de 2003. Une concertation pr\u00e9alable avec les acteurs concern\u00e9s Afin d’apporter des […]<\/p>\n","protected":false},"author":4,"featured_media":5147,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[1308],"tags":[],"class_list":["post-5146","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites-2"],"_links":{"self":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts\/5146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/comments?post=5146"}],"version-history":[{"count":0,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts\/5146\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/media?parent=5146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/categories?post=5146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/tags?post=5146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}