Carte bancaire et paiement en ligne : les nouvelles recommandations de la Cnil

Dix ans après l'adoption d'une première série de recommandations en matière d'utilisation d’une carte de paiement pour les transactions en ligne, la Cnil a décidé de les réactualiser afin de prendre compte l'évolution légale et technologique. La Commission rappelle, tout d’abord, que les données pouvant être collectées doivent être strictement nécessaires à la réalisation d'une transaction. Soit le numéro de la carte, la date d'expiration et le cryptogramme visuel. Si d’autres données sont demandées, elles doivent répondre à une finalité « déterminée et légitime » comme la lutte contre la fraude. En revanche, un commerçant en ligne ne peut pas demander la transmission d'une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

La Cnil aborde ensuite les conditions de recueil du consentement du client. Ce consentement préalable est obligatoire lorsque les données relatives à la carte sont conservées par l'e-commerçant pour offrir un service supplémentaire comme le fait de ne pas avoir à ressaisir son numéro de carte lors d'un achat ultérieur. Ce consentement doit être explicite. Le consommateur devra, par exemple, cocher une case et non que celle-ci soit pré-cochée par défaut. L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes. La Cnil recommande également que l'e-commerçant intègre directement sur son site un moyen simple de retirer, sans frais, le consentement ainsi donné.

Le consommateur informé lorsque ses données sont détournées

Par ailleurs, les nouvelles recommandations mettent l'accent sur la confidentialité des données lorsqu'elles sont conservées pour les paiements ultérieurs ou pour la lutte contre la fraude. La Cnil préconise les mesures de sécurité suivantes : le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage, le remplacement du numéro de carte par un numéro non signifiant et la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable.

La Cnil recommande également les données ne soient pas conservées sur le terminal des clients (smartphone, ordinateur) « dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires ». Lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.

Enfin, anticipant sur le futur règlement européen qui obligera les entreprises à rendre publiques les violations de données qu’elles pourraient subir, Cnil recommande que le titulaire de la carte soit informé d’un détournement de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.).

De même, elle préconise la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance. De manière générale, les évolutions de la législation devraient, selon la Cnil conduire à une plus grande responsabilisation des cybercommerçants qui pourrait passer par une intégration de la protection des données dès la conception des produits ("privacy by design"), des analyses de risque, ou l'élaboration de politiques " vie privée ".