E-paiements : Nouvelles recommandations de la CNIL
La généralisation des paiements à distance et les risques liés à l’utilisation des moyens de paiement sur internet ont incités la Commission Nationale de l'Informatique et des Libertés (CNIL) à mettre à jour ses recommandations de 2003.
Suite à la multiplication des plaintes des internautes, la CNIL a fait évoluer ses recommandations sur le paiement en ligne, en concertation avec les principaux acteurs du secteur, et notamment la Banque de France, le Groupement des cartes bancaires ainsi que les représentants des principales associations de consommateurs et des acteurs du e-commerce et de la vente à distance.
Finalités de la collecte
La CNIL précise d’abord les finalités de la collecte du numéro de carte de paiement, qui excluent d’emblée l'utilisation du numéro de la carte comme identifiant commercial, et se limitent aux finalités suivantes :
- La réalisation d'une transaction
- La réservation d'un bien ou d'un service
- La création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant
- L'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement
- La lutte contre la fraude à la carte de paiement
Données collectées et consentement
La CNIL rappelle également que seules les données strictement nécessaires à la réalisation d'une transaction peuvent être collectées par les e-commerçants. Sont considérés comme entrant dans cette catégorie : le numéro de la carte, la date d'expiration et le cryptogramme visuel. Toute autre donnée ne pourra être collectée que si elle correspond à une finalité déterminée et légitime comme par exemple la lutte contre la fraude.
A cet égard, la CNIL se prononce clairement contre la pratique qui consiste pour les e-commerçants à demander la transmission d'une copie de la carte bancaire avec le cryptogramme visuel et une partie des numéros masqués.
Elle rappelle à nouveau que le consentement préalable de l’acheteur est obligatoire entre deux transactions et souligne que « l'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes ». La CNIL recommande également que l'e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.
Sécurité et confidentialité
Concernant la sécurité et de la confidentialité des données bancaires, La Cnil préconise la non-conservation des données de paiement sur le smartphone, la tablette ou l'ordinateur du client, « car ils ne sont pas conçus pour assurer la sécurité des données bancaires ».
Pour assurer la sécurité des données, les nouvelles recommandations préconisent les mesures suivantes :
- Le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage
- Leremplacement du numéro de carte par un numéro non signifiant
- La traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable
Enfin sur le terrain des failles de sécurité, la CNIL recommande que « le titulaire de la carte reçoive la notification des failles de sécurité conduisant à la compromission de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.) ».