Gestion des moyens de paiement

CARTE BANCAIRE

Depuis l’entrée en application du règlement européen sur la protection des données (RGPD), les bénéficiaires de paiement doivent envisager leur système de paiement en tenant compte des principes de protection des données par défaut et dès la conception.

En matière de paiement par carte bancaire, les données strictement nécessaires à la réalisation d'un paiement sont par défaut :

  • le numéro de la carte,
  • la date d'expiration,
  • le cryptogramme visuel.

Elles ne doivent pas être conservées au-delà de la transaction. Si la collecte de l’identité du titulaire de la carte n’est pas nécessaire à la transaction, elle ne doit pas être collectée. Un commerçant en ligne ne peut pas demander la transmission d'une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

Quelles sont les utilisations possibles ?

Dans le cadre du paiement à distance, les données de la carte de paiement peuvent être collectées pour :

  • payer un bien ou un service,
  • régler en plusieurs fois un abonnement souscrit en ligne,
  • réserver un bien ou un service,
  • souscrire à une offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement.

Le principe

Les commerçants doivent recueillir le consentement de leurs clients à la conservation de leurs données bancaires au-delà d’une transaction, pour faciliter leurs achats ultérieurs. Ce consentement ne se présume pas et doit prendre la forme d'un acte de volonté univoque, par exemple au moyen d'une case à cocher (non pré-cochée par défaut). L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes. La CNIL recommande également que l'e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné. Les données de la carte bancaire peuvent également être utilisées dans le cadre de la lutte contre la fraude à la carte de paiement.

Combien de temps conserver les données ?

Dans tous les cas, la conservation du cryptogramme est interdite après la réalisation de la première transaction. La durée de conservation des données de la carte bancaire dépend des finalités poursuivies.

  • Paiement unique : jusqu’au paiement complet, jusqu’à la réception du bien ou à l’exécution de la prestation de service. Augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance.
  • Abonnement avec tacite reconduction : jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction.
  • Gestion des réclamations : 13 mois, suivant la date de débit ou 15 mois en cas de cartes de paiement à débit différé. Les données ainsi conservées à des fins de preuve doivent être conservées en archive intermédiaire et n’être utilisées qu’en cas de contestation de la transaction. 
  • Faciliter les achats ultérieurs : jusqu’au retrait du consentement et/ou à l’expiration de la validité des données de la carte bancaire

Quelles précautions prendre pour sécuriser les données ?

La CNIL recommande que le titulaire de la carte soit informé de toute compromission de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.). De même, elle préconise la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance. Dans ces cas, les mesures de sécurité suivantes sont préconisées :

  • le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
  • le remplacement du numéro de carte par un numéro non signifiant,
  • la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable.

La CNIL recommande de ne pas conserver des données relatives à une carte de paiement sur le terminal des clients (smartphone, ordinateur) dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires. Lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.