Paiement en ligne par carte : les recommandations de la CNIL

Tenant compte du nouveau Règlement européen sur la protection des données[1], la CNIL a mis à jour ses recommandations sur le paiement à distance par carte bancaire[2] afin de rappeler ses positions en matière de traitement des données relatives aux cartes de paiement dans le cadre d’une vente à distance.  

Quels sont les traitements visés ?

Les traitements des données relatives à la carte de paiement, lors d’un achat conclu à distance (internet, téléphone …) entre un consommateur et un professionnel.

Que recommande la CNIL ?

Sur les finalités : les données de carte de paiement peuvent être collectées afin de :

• réaliser une transaction visant à la délivrance d’un bien ou d’une prestation ;
• réserver d’un bien ou d’un service ;
• régler des abonnements souscrits en ligne ;
• offrir des solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement ;
• lutter contre la fraude à la carte de paiement.

Sur les données collectées : les données strictement nécessaires à la réalisation d’une transaction à distance sont le numéro de la carte, la date d’expiration et le cryptogramme visuel. La CNIL rappelle :

• qu’il est interdit de demander une photocopie de la carte de paiement.
• que l’identité du titulaire de la carte ne doit pas être collectée si elle n’est pas nécessaire à la transaction

Sur la conservation des données : les données sont conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, à savoir s’agissant de:

• paiements uniques : jusqu’au paiement effectif du prix ;
• abonnements avec paiement échelonnés : jusqu’à la résiliation de l’abonnement ;
• gestions des réclamations : 13 mois suivant la date de début ou 15 mois en cas de débit différé

Dans tous les cas, la conservation du cryptogramme est interdite après la réalisation de la première transaction.

Sur les droits des personnes concernées : la CNIL rappelle l’obligation générale d’information complète et claire des personnes. Elle recommande de mettre à la disposition du client un moyen simple pour retirer sans frais son consentement pour la conservation de ses données.

Sur les mesures de sécurité : la CNIL préconise notamment :

• la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance ;
• la mise en place de mesures de sécurité adaptées par les sous-traitants ;
• l’utilisation de services de paiement en ligne conformes à l’état de l’art et réglementation applicable (PCI-DSS, disponibilité, intégrité, confidentialité, traçabilité, authentification ;
• de ne pas conserver localement les données relatives à la carte de paiement d’un client sur le terminal de ce dernier si cet équipement n’est pas conçu pour assurer la sécurité de ce type de données.