C'est un peu plus de dix ans après l'adoption d'un premier groupe de recommandations concernant l'utilisation des cartes bancaires pour la réalisation d'achats en ligne que la CNIL publie une mise à jour, principalement pour répondre à l'évolution technologique des moyens de paiement, mais aussi pour s'adapter aux nouvelles lois.


Carte bancaire   Première règle et sans doute des plus importantes, la CNIL rappelle que les numéros de carte bancaires ne peuvent être collectées que dans le cadre d'une transaction. Et là encore les seules informations demandées au client ne peuvent s'étendre au-delà des informations nécessaires à honorer la transaction, soit son adresse, le numéro de carte bancaire accompagné de sa date d'expiration et de son cryptogramme visuel. Si d'autres données sont nécessaires, alors le vendeur devra prouver qu'il s'agit uniquement de données légitimes dans le cadre de lutte contre la fraude. La CNIL vise ainsi les sites de vente en ligne qui demandent à leurs utilisateurs d'utiliser leur numéro de carte bancaire comme identifiant, ou plus généralement d'envoyer une copie complète de leur carte bancaire, ce qui augmente les risques de contrefaçons.

Autre point abordé par la CNIL, celui des conditions de recueil du consentement du client. Ainsi, si le commerçant souhaite conserver les données bancaires d'un client, il doit obligatoirement en obtenir le consentement. Un consentement qui doit être demandé de manière explicite, et qui ne peut pas se vouloir obligatoire dans le but de finaliser quelconque transaction. Impossible de détourner cette règle en reléguant le consentement automatique à la rétention des informations bancaires dans l'acceptation des conditions générales de vente, la transparence doit être de mise. La CNIL propose à ce titre aux sites de vente en ligne de faciliter l'accès de l'utilisateur à une page lui permettant de retirer son consentement donné.

S'en suit une série de recommandations liées à la sécurisation des données et à la limitation des fraudes. La CNIL recommande ainsi le masquage de tout ou partie du numéro de la carte bancaire de l'acheteur lors de son affichage ou de son stockage, le remplacement de ce numéro par un autre numéro insignifiant, ainsi que la mise en place d'une traçabilité qui permettrait de détecter tout accès ou utilisation frauduleuse des données.

La CNIL met également en avant les limites des équipements des particuliers, indiquant qu'ils ne sont pas suffisamment sécurisés pour permettre de stocker ces données aussi sensibles ( smartphones, tablettes, PC).

En cas de fraude ou de piratage des données d'utilisateurs, la CNIL recommande que les titulaires des cartes dont les données auront été détournées soient informés rapidement afin qu'elles puissent lancer des procédures bancaires leur permettant de limiter les utilisations frauduleuses de leur carte. Notons que cette recommandation de la CNIL fait écho à une future loi européenne similaire en prévision.

Source : CNIL