Suite à une série de plaintes, la Cnil (Commission nationale de l'informatique et des libertés) a mis à jour sa recommandation concernant les paiements en ligne par carte bancaire. Principale nouveauté : un plus strict encadrement de la conservation des numéros de carte.

La recommandation de la Cnil encadrant le paiement par carte bancaire sur les sites de e-commerce datait du 19 juin 2003. La Cnil a reconnu la « nécessité d’actualiser » ce texte suite à des « plaintes reçues » et à « différents contrôles » menés par l’autorité. Dans un communiqué publié ce mercredi, la Cnil annonce donc l’abrogation de la précédente délibération, remplacée par une nouvelle datée du 14 novembre 2013.

Premier changement de taille : les vendeurs en ligne ne pourront plus utiliser le numéro de carte de paiement comme « identifiant commercial », pour reprendre les termes de la délibération de la Cnil. La recommandation de 2003 subordonnait elle ce type de pratique au « recueil du consentement de la personne concernée », sans l’interdire.

Pas de case pré-cochée pour la conservation du numéro

Ainsi, la recommandation de la Cnil concerne principalement la conservation des données relatives au paiement par carte bancaire. Par exemple, pour une simple transaction ou pour la réservation d’un bien ou service, la conservation du numéro de carte ne doit pas excéder le « délai nécessaire à la réalisation de la transaction ».

Un numéro de carte bancaire peut être conservé dans certains cas spécifiques, comme la lutte contre la fraude ou pour « faciliter des achats ultérieurs ». C’est notamment le cas pour les portefeuilles électroniques, la Cnil acceptant la conservation des données en cas de « service supplémentaire au client », comme le fait de ne pas avoir à « ressaisir son numéro de carte ». Cependant, dans ce cas, le consentement du client est obligatoire, et celui-ci doit être « explicite ». Il ne s’agit par exemple pas d’une case pré-cochée par défaut. L’e-commerçant doit aussi intégrer sur son site marchand la possibilité de retirer ce consentement, sans frais.

Concernant la conservation des données en vue de « paiements ultérieurs » ou pour la lutte contre la fraude, la Cnil préconise par ailleurs des mesures de sécurité renforcées, comme le masquage de tout ou partie du numéro de la carte lors de son affichage ou le remplacement de ce numéro par un autre, « non signifiant ». La Cnil conseille aussi de ne pas conserver les données relatives à la carte bancaire sur le smartphone ou l’ordinateur utilisé par le client pour régler son achat.

Conservation interdite du cryptogramme

Quant au cryptogramme, les trois ou quatre chiffres au dos de la carte réclamés lors d’un paiement en ligne, la recommandation de 2003 demandait déjà aux responsables de traitements de ne pas le mémoriser. Le nouveau texte se veut plus précis et plus directif sur ce point, soulignant que la « finalité du cryptogramme visuel est de s'assurer que le porteur est bien en possession du support physique de la carte ». Conséquence : « la conservation du cryptogramme est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs ».

La Cnil détaille par ailleurs les données nécessaires à une transaction : le numéro de carte, la date d’expiration et donc le cryptogramme. D’autres données, comme l’identité du titulaire de la carte, peuvent être demandées mais uniquement pour « une finalité déterminée et légitime, telle que la lutte contre la fraude ».

Pas de photocopie de la carte

Autre injonction à l’intention des e-commerçants : ceux-ci ne peuvent demander « la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués », une mention qui n’était pas présente dans la recommandation de 2003.

Le nouveau texte introduit une dernière nouveauté notable. La recommandation ne concerne désormais plus les seules cartes munies de l’inscription « CB » mais aussi les cartes accréditives et privatives, par exemple une carte émise par un établissement financier spécialisé dans le crédit à la consommation.