La CNIL a modifié sa recommandation relative à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (délibération n°2018-303).
En principe, la CNIL refuse la conservation des données au-delà de la transaction
Or, depuis l’entrée en application du règlement européen sur la protection des données (RGPD), les commerçants doivent tenir compte des principes de « privacy by design » et de « privacy by default ». Autrement dit, ils doivent respecter les principes de protection des données par défaut et dès la conception.
En matière de paiement pour la vente de biens ou la fourniture de services à distance, les données strictement nécessaires à la réalisation d'un paiement sont par défaut :
- le numéro de la carte ;
- la date d'expiration ;
- le cryptogramme visuel.
- Elles ne doivent pas être conservées au-delà de la transaction.
Les finalités, ou les utilisations que peuvent faire les commerçants de ces services sont :
- payer un bien ou un service ;
- régler en plusieurs fois un abonnement souscrit en ligne ;
- réserver un bien ou un service ;
- souscrire à une offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement.
La base juridique : Le consentement des clients doit être recueilli afin de faciliter leurs achats ultérieurs.
Comme pour les réglementations concernant les cookies, ce consentement doit émaner d’un acte positif de la part des clients, par exemple au moyen d'une case à cocher (non pré-cochée par défaut).
Attention : l'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes.
La CNIL recommande que l'e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.
Les données de la carte bancaire peuvent également être utilisées dans le cadre de la lutte contre la fraude à la carte de paiement.
Cas particulier des abonnements « premium », « à volonté », etc. visant à faciliter les achats :
Les commerçants peuvent se fonder sur leur intérêt légitime pour conserver les données bancaires de ceux de leurs clients qui souscriraient à un abonnement « premium », « à volonté », etc., afin de bénéficier, gratuitement ou non, de services annexes visant à faciliter leurs achats (livraison rapide, ventes privées, accès à des contenus supplémentaires, etc.).
La souscription à un abonnement complémentaire peut témoigner de la volonté du client de s’inscrire dans une relation commerciale régulière avec le commerçant en achetant fréquemment sur le site web du commerçant.
Avis aux commerçants : vous devez prendre aussi des précautions pour sécuriser les données de vos clients ? Vous pouvez :
- Informer les clients de toute compromission de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.).
- Mettre en place des moyens d'authentification renforcés du titulaire de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance. Dans ces cas, les mesures de sécurité suivantes sont préconisées :
- le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
- le remplacement du numéro de carte par un numéro non signifiant,
- la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable.