Suite à la multiplication des plaintes et à différents contrôles, la Commission nationale de l'informatique et des libertés (CNIL) a décidé d'actualiser ses recommandations liées au paiement en ligne qui dataient de 2003. Dans un communiqué publié aujourd'hui sur son site, le régulateur a indiqué avoir consulté la Banque de France, le Groupement des cartes bancaires, les représentants des principales associations de consommateurs, ainsi que par les acteurs du e-commerce.

En premier lieu, la Commission souligne que l'utilisation du numéro de la carte de paiement comme moyen d'identification n'est en aucun cas légitime. Pour la Commission, la collecte du numéro de carte de paiement ne pourra être faite que pour réaliser une transaction, réserver un bien ou d'un service, ou créer un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant. La récupération du numéro sera également possible dans le cas d''offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement ou pour lutter contre la fraude à la carte de paiement.

Consentement obligatoire


Les données strictement nécessaires à la réalisation d'une transaction sont le numéro de la carte, la date d'expiration et le cryptogramme visuel. Elles peuvent également être demandées pour une finalité déterminée et légitime (notamment la lutte contre la fraude). En revanche, la Commission estime qu'un commerçant en ligne ne peut pas demander la transmission d'une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

Lorsque les données relatives à la carte sont conservées par l'e-commerçant pour offrir un service supplémentaire au client, tel que ne pas avoir à ressaisir son numéro de carte lors d'un achat ultérieur, le consentement préalable de la personne est obligatoire. La CNIL recommande également que l'e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement donné.

Des mesures de sécurité renforcées


Les dernières recommandations mettent également l'accent sur la confidentialité des données relatives à la carte de paiement en particulier lorsqu'elles sont conservées pour les paiements ultérieurs ou pour la lutte contre la fraude. Dans ces cas, sont préconisés le masquage de tout ou d'une partie du numéro de la carte lors de son affichage ou de son stockage. La CNIL recommande aussi de remplacer le numéro de carte par un numéro non signifiant, et de recourir à la traçabilité pour détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable. Elle souhaite également que le titulaire de la carte reçoive la notification des failles de sécurité conduisant à la compromission de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.).

Enfin, elle insiste sur la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement pour s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance.