Le paiement à distance par carte bancaire

15 novembre 2017

A l’occasion de la mise à jour de sa recommandation sur la carte bancaire dans le cadre du paiement à distance la CNIL fait le point sur l’utilisation des données de la carte bancaire dans le contexte des paiements à distance.

Par défaut : pas de conservation au-delà de la transaction

Dans la perspective de l’entrée en application du règlement européen sur la protection des données, les commerçants devront envisager leur système de paiement en tenant compte des principes de protection des données par défaut et dès la conception.

En matière de paiement pour la vente de biens ou de fourniture de services à distance,

Les données strictement nécessaires à la réalisation d'un paiement sont par défaut :

  • le numéro de la carte,
  • la date d'expiration,
  • le cryptogramme visuel.

Elles ne doivent pas être conservées au-delà de la transaction.

Données de la carte bancaire : quelles sont les utilisations possibles ?

Dans le cadre du paiement à distance, les données de la carte de paiement peuvent être collectées pour :

  • Payer un bien ou un service
  • Régler en plusieurs fois un abonnement souscrit en ligne
  • Réserver un bien ou un service
  • Souscrire à une offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement

Il est possible de proposer au porteur de la carte de consentir à la conservation des données de sa carte bancaire pour faciliter ses achats ultérieurs. Le consentement préalable de la personne est obligatoire. Il ne se présume pas et doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher et non pré-cochée par défaut. L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes.

La CNIL recommande également que l'e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.

Les données de la carte bancaire peuvent également être utilisées dans le cadre de la lutte contre la fraude à la carte de paiement.

Quelles données peuvent être collectées lors d'un paiement ?

Les données strictement nécessaires à la réalisation d'une transaction sont :

  • le numéro de la carte,
  • la date d'expiration
  • le cryptogramme visuel

Si la collecte de l’identité du titulaire de la carte n’est pas nécessaire à la transaction, elle ne doit pas être collectée.

Un commerçant en ligne ne peut pas demander la transmission d'une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

Combien de temps conserver les données ?

Dans tous les cas, la conservation du cryptogramme est interdite après la réalisation de la première transaction.

La durée de conservation des données de la carte bancaire dépend des finalités poursuivies.

Le tableau ci-dessous recense les cas d’utilisation les plus courants :

Durées de conservation des données de paiement
Finalité Durée de conservation
Paiement unique Jusqu’au paiement complet,
Jusqu’à la réception du bien ou à l’exécution de la prestation de service. Augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance
Abonnement avec tacite reconduction Jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction ;
Gestion des réclamations 13 mois, suivant la date de débit ou 15 mois en cas de cartes de paiement à débit différé.
Les données ainsi conservées à des fins de preuve doivent être conservées en archive intermédiaire et n’être utilisées qu’en cas de contestation de la transaction. 
Faciliter les achats ultérieurs jusqu’au retrait du consentement et/ou à l’expiration de la validité des données de la carte bancaire

Quelles précautions prendre pour sécuriser les données ?

La CNIL recommande que le titulaire de la carte soit informé de toute compromission de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.).

De même, elle préconise la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance. Dans ces cas, les mesures de sécurité suivantes sont préconisées :lys

  • le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
  • le remplacement du numéro de carte par un numéro non signifiant,
  • la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable.

La CNIL recommande de ne pas conserver des données relatives à une carte de paiement sur le terminal des clients (smartphone, ordinateur) dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires.

Lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.

Les mots clés associés à cet article