Utilisation des cartes de paiement pour la vente de biens ou la fourniture de services à distance : la CNIL émet ses recommandations

Face à l’explosion du commerce sur internet et alors que la carte de paiement reste le moyen privilégié pour le règlement de transaction à distance, la CNIL actualise ses recommandations, plus de 10 ans après les précédentes. Morceaux choisis et décryptage.

Collecte des données bancaires

La CNIL rappelle que « la finalité première de l’utilisation d’un numéro de carte de paiement est la réalisation d’une transaction ».
Lors de toute transaction, les seules données qui pourront être collectées sont les suivantes :

  • Numéro de la carte
  • Date d’expiration
  • Cryptogramme visuel

Si d’autres données sont demandées, elles doivent répondre à une finalité « déterminée et légitime » comme la lutte contre la fraude.

En pratique

La copie de la carte du client ne doit pas être demandée par l'e-commerçant, même si une partie des informations est masquée. Cette pratique est d’ailleurs non compatible avec les obligations de sécurité et les conditions d'utilisation que doit respecter le titulaire de la carte de paiement conformément à l'article L. 133-16 du code monétaire et financier.

Stockage des données

Lorsque les données relatives à la carte sont conservées par l'e-commerçant pour simplifier un paiement ultérieur sur son site, la CNIL considère que le e-commerçant doit avoir recueilli le consentement « libre, spécifique et informé » de la personne concernée.

La CNIL préconise également que l’e-commerçant mette à disposition sur son site un moyen simple et gratuit de retirer le consentement donné pour la conservation des données de la carte.

En pratique

La mise en place d’une case en mode opt-in (le titulaire de la carte doit cocher une case dédiée à cet effet) et l’affichage clair de cette information doivent être mis en place. L’acceptation des conditions générales d’utilisation ou de vente n’est pas suffisante pour valider le recueil du consentement de la personne concernée.

Sécurité des données

La commission estime que les sites marchands doivent sécuriser toutes les données permettant la création de comptes client en particlier les données relatives à la carte et protéger leurs serveurs informatiques afin d’éviter toute utilisation frauduleuse de ces données, notamment suite à une faille de sécurité.

En pratique

La conformité à des référentiels de sécurité comme la norme PCI DSS(1) ou le choix d’un prestataire disposant d’une plateforme de paiement certifiée est requis.

Authentification du payeur

La CNIL « recommande la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement visant à s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance ».

En pratique

Même si le protocole n’est pas expressément nommé, l’utilisation du 3D Secure sur les sites e-commerce est fortement recommandée.

CM-CIC Paiement vous permet d’être en conformité immédiate avec certaines de ces recommandations. La plateforme CM-CIC Paiement est notamment certifiée PCI DSS(1). Elle atteste de la conformité aux standards de sécurité de VISA et MASTERCARD, gage de sécurité informatique, notamment pour le stockage des données relatives à la carte.

CM-CIC Paiement propose, dans toutes ses offres, l’authentification de l’acheteur par le processus 3D secure qui permet de minimiser la fraude à la carte bancaire.

Pour fluidifier votre parcours d’achat, adoptez l’option Paiement Express de CM-CIC Paiement. Les données de la carte associée à la création du compte client et facilitant les paiements ultérieurs par le client ne sont pas stockées sur le site du e-commerçant mais par la plateforme CM-CIC Paiement.

(1) PCI DSS (Payment Card Industry Data Security Standard)

Juin 2014