La CNIL a modifié sa recommandation relative à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (délibération n°2018-303). Sa position évolue sur la question de la conservation des données bancaires de clients au-delà d’une transaction afin de faciliter leurs éventuels achats ultérieurs.
Par défaut : pas de conservation au-delà de la transaction
Depuis l’entrée en application du règlement européen sur la protection des données (RGPD), les commerçants doivent envisager leur système de paiement en tenant compte des principes de protection des données par défaut et dès la conception.
En matière de paiement pour la vente de biens ou la fourniture de services à distance, les données strictement nécessaires à la réalisation d’un paiement sont par défaut :
- le numéro de la carte ;
- la date d’expiration ;
- le cryptogramme visuel.
Elles ne doivent pas être conservées au-delà de la transaction.
Données de la carte bancaire : quelles sont les utilisations possibles ?
Dans le cadre du paiement à distance, les données de la carte de paiement peuvent être collectées pour :
- payer un bien ou un service ;
- régler en plusieurs fois un abonnement souscrit en ligne ;
- réserver un bien ou un service ;
- souscrire à une offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement.
Le principe
Les commerçants doivent recueillir le consentement de leurs clients à la conservation de leurs données bancaires au-delà d’une transaction, pour faciliter leurs achats ultérieurs.
Ce consentement ne se présume pas et doit prendre la forme d’un acte de volonté univoque, par exemple au moyen d’une case à cocher (non pré-cochée par défaut).
L’acceptation des conditions générales d’utilisation ou de vente n’est pas considérée comme une modalité suffisante du recueil du consentement des personnes.
La CNIL recommande également que l’e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.
Les données de la carte bancaire peuvent également être utilisées dans le cadre de la lutte contre la fraude à la carte de paiement.
Cas particulier des abonnements « premium », « à volonté », etc. visant à faciliter les achats :
Les commerçants peuvent se fonder sur leur intérêt légitime pour conserver les données bancaires de ceux de leurs clients qui souscriraient à un abonnement « premium », « à volonté », etc., afin de bénéficier, gratuitement ou non, de services annexes visant à faciliter leurs achats (livraison rapide, ventes privées, accès à des contenus supplémentaires, etc.).
La souscription à un abonnement complémentaire peut témoigner de la volonté du client de s’inscrire dans une relation commerciale régulière avec le commerçant en achetant fréquemment sur le site web du commerçant.
Dans ce cas, les commerçants peuvent conserver par défaut les données bancaires saisies par les clients adhérents à ces abonnements complémentaires, sous réserve :
- de fournir une information suffisamment complète (par ex. « nous conservons vos données de carte bancaire pour vous éviter de les saisir de nouveau lors de vos futurs achats ») directement et de manière distincte sur le support de collecte (par ex. un encadré visible et explicite au-dessus du formulaire) ;
- de permettre d’exercer facilement leur droit d’opposition par le biais d’une case à cocher présente sur le support de collecte et ce, sans conséquence sur l’accès au service ; dans ce cas, l’encadré cité en exemple peut directement intégrer cette case, accompagnée d’une mention « pour refuser la conservation de vos données bancaires, cliquer ici » ;
- de permettre facilement et à tout moment, sur le site marchand, la suppression de leurs données bancaires ;
- de tenir compte du refus exprimé par le client s’agissant de la conservation de la carte bancaire et de ne lui proposer par la suite une telle conservation qu’avec son consentement libre, éclairé et spécifique, par exemple, par une case à cocher ; il s’agit ici de respecter de manière durable le choix exprimé par la personne ;
- de mettre en œuvre des mesures de sécurité appropriées.
Ces mesures ont pour objectif de préserver la liberté de choix et les intérêts des clients, abonnés, faisant des achats récurrents sur un même site.
Attention, la conservation des données bancaires par défaut ne s’applique pas pour les achats ponctuels assortis d’une simple modalité de paiement offerte à tout client, par exemple l’achat en « un clic ».
En effet, la conservation du numéro de la carte du client afin de faciliter ses éventuels paiements ultérieurs, et éventuellement pouvoir procéder à un achat en « un clic » sur le site du commerçant, va au-delà de l’exécution du contrat conclu et du service attendu par la personne lorsqu’elle fait ponctuellement un achat en ligne.
Le client doit en effet pouvoir raisonnablement s’attendre à la conservation de ses données bancaires par défaut, dans le cadre de sa relation avec l’e-commerçant. L’intention du client de s’inscrire dans une relation commerciale régulière doit donc être manifeste et se traduire par la souscription à un service facilitant ses achats distincte, mais possiblement concomitante, de la simple création d’un compte client donnant accès aux services de base.
Cela ne doit pas se limiter à la simple inscription à un programme ou compte de fidélité, en contrepartie d’avantages et de récompenses, qui ne donnerait pas accès à des prestations supplémentaires visant à faciliter les achats.
Quelles données peuvent être collectées lors d’un paiement ?
Les données strictement nécessaires à la réalisation d’une transaction sont :
- le numéro de la carte,
- la date d’expiration
- le cryptogramme visuel
Si la collecte de l’identité du titulaire de la carte n’est pas nécessaire à la transaction, elle ne doit pas être collectée.
Un commerçant en ligne ne peut pas demander la transmission d’une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.
Combien de temps conserver les données ?
Dans tous les cas, la conservation du cryptogramme est interdite après la réalisation de la première transaction.
La durée de conservation des données de la carte bancaire dépend des finalités poursuivies.
Le tableau ci-dessous recense les cas d’utilisation les plus courants :
DURÉES DE CONSERVATION DES DONNÉES DE PAIEMENT | |
FINALITÉ | DURÉE DE CONSERVATION |
Paiement unique | Jusqu’au paiement complet. Jusqu’à la réception du bien ou à l’exécution de la prestation de service. Augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance |
Abonnement avec tacite reconduction | Jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction ; |
Gestion des réclamations | 13 mois, suivant la date de débit ou 15 mois en cas de cartes de paiement à débit différé. Les données ainsi conservées à des fins de preuve doivent être conservées en archive intermédiaire et n’être utilisées qu’en cas de contestation de la transaction. |
Faciliter les achats ultérieurs | jusqu’au retrait du consentement et/ou à l’expiration de la validité des données de la carte bancaire |
Quelles précautions prendre pour sécuriser les données ?
La CNIL recommande que le titulaire de la carte soit informé de toute compromission de ses données bancaires afin qu’il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.).
De même, elle préconise la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance. Dans ces cas, les mesures de sécurité suivantes sont préconisées :
- le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
- le remplacement du numéro de carte par un numéro non signifiant,
- la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable.
La CNIL recommande de ne pas conserver des données relatives à une carte de paiement sur le terminal des clients (smartphone, ordinateur) dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires.
Lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.
Plus d’informations sur le site de la CNIL