Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

La CNIL se saisit du problème de la conservation par le vendeur des numéros de cartes de crédit

Publié le par

La Commission Nationale de l’Informatique et des Liberté (CNIL) vient d’émettre une importante recommandation sur la question du stockage et de l’utilisation du numéro de carte bancaire collecté par un professionnel à l’occasion de la vente d’un bien ou la fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre lui-même…

La Commission Nationale de l’Informatique et des Liberté (CNIL) vient d’émettre une importante recommandation sur la question du stockage et de l’utilisation du numéro de carte bancaire collecté par un professionnel à l’occasion de la vente d’un bien ou la fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre lui-même et un consommateur qui, pour la conclusion de ce contrat, utilisent une ou plusieurs techniques de communication à distance.

Par numéro de carte bancaire, il faut entendre le numéro et la date de validité figurant sur le recto des cartes de paiement « CB » émises par les banques, utilisables chez les commerçants et prestataires de services affiliés au réseau « CB ». La présente recommandation ne s’applique donc ni aux cartes dites privatives, c’est à dire aux cartes émises par les établissements financiers spécialisés dans le crédit à la consommation ou encore directement par des commerçants, ni aux cartes dites accréditives.

Bref, le cas typique est celui dans lequel un consommateur achète un bien ou un service sur l’internet et donne son numéro de carte de crédit pour régler. Il est vrai que l’hypothèse se rencontre très fréquement.

La recommandation a pour objet, en l’état du droit et des procédés actuels de paiement, notamment sur Internet, de préciser les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents au numéro de carte bancaire.

Nous avons repris ci-après quelques points forts de cette recommandation :

  1. Pour la CNIL, la finalité première de l’utilisation d’un numéro de carte bancaire est la réalisation d’une transaction, qu’elle soit ponctuelle ou à exécutions successives, c’est à dire le complet paiement d’un prix en contrepartie de la délivrance d’un bien ou la prestation d’un service. Néanmoins, la Commission relève que, loin de rester un simple instrument de paiement, le numéro de carte bancaire est parfois devenu un véritable identifiant, utilisé à des fins commerciales au delà de la réalisation d’une transaction donnée (« portefeuille électronique », authentification d’un client, réservation par téléphone, etc.) ou de lutte contre la fraude au paiement, et que le titulaire n’est pas toujours conscient (ni prévenu) de cet enjeu.

  2. Point important, la Commission constate que la spécificité du paiement par carte bancaire dans la vente à distance fait peser le risque financier sur le commerçant en cas d’utilisation frauduleuse du numéro de carte. Il est vrai que bien souvent, le commerçant supporte in fine le risque financier, que ce soit en vertu de la loi ou en vertu de son contrat avec la banque-acquéreur (NDLR : sa banque).

    La Commission considère en conséquence que l’utilisation du numéro de carte bancaire par un professionnel de la vente à distance dans un fichier ayant pour finalité de lutter contre la fraude au paiement en conservant la trace d’agissements lui ayant porté préjudice, est légitime, pour autant que la loi Informatique et Liberté soit respectée (notamment la déclaration prélable et l’article 2 selon lequel aucune décision privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé).

  3. La Commission observe également que les pratiques liées à la collecte du numéro de carte bancaire entraînent la multiplication de bases de données pouvant faire l’objet d’une réutilisation frauduleuse, en particulier lorsque ces bases de données sont accessibles sur internet.

    La Commission considère en conséquence que les commerçants devraient s’efforcer d’élaborer et d’adopter des pratiques exemplaires et promouvoir des comportements qui tiennent compte des impératifs de sécurité et respectent les intérêts légitimes des individus.

    En réalité, en rappelant ceci, la Commission ne fait que demander le respect des textes aplicables en cette matière. On l’ignore souvent, mais la directive sur ce sujet prévoit effectivement que le responsable du traitement doit mettre en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, et que ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. Or, on peut difficilement nier que les informations faciales des cartes de crédit sont des informations de première importance …

    Ces précautions peuvent impliquer des mesures internes (organisation, investissements, …) mais aussi externes lorsqu’il y a un recours à la sous-traitance.

  4. La durée de la conservation d’un numéro de carte bancaire est un autre sujet important. Primo, la CNIL souligne que toute conservation suppose que des mises à jour régulières soient effectuées afin de supprimer les numéros de cartes bancaires périmés. Ensuite, elle estime que la conservation ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de lutte contre la fraude au paiement du traitement mis en oeuvre conformément aux lois et règlement en vigueur.

    Sur ce point, la Commission souligne que chaque déclaration fait l’objet d’un examen spécifique et que le projet de loi modifiant la loi du 6 janvier 1978 (transposition de la directive du 24 octobre 1995) prévoit, en l’état de son examen par le Parlement, que seront soumis à l’autorisation de la CNIL « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure les personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire les y habilitant ».

  5. Enfin, et ceci risque de déplaire à l’industrie du paiemetn électronique, la Commission relève que l’utilisation de traitements automatisés de données dans le secteur des moyens de paiement peut entraîner des risques pour la vie privée des individus, s’agissant en particulier de certains modes de paiement électronique, au regard de la quantité de données à caractère personnel qu’ils peuvent révéler du fait de leur utilisation.

    Elle estime en conséquence que les responsables de traitements devraient promouvoir, pour le commerce électronique, l’utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l’anonymat des paiements réalisés par leurs clients.

Plus d’infos ?

En prenant connaissance de la recommandation, sur le site de la CNIL.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK