La CNIL a adopté, le 14 novembre 2013, une nouvelle recommandation concernant le traitement des données de cartes de paiement collectées dans le cadre d’une vente à distance (Délibération n° 2013-358 abrogeant la délibération n° 2003-034 du 19 juin 2013).

Cette recommandation, adoptée après consultation de la Banque de France, du Groupement des cartes bancaires, des principales associations de consommateurs et des acteurs du e-commerce et de la vente à distance, vise à exposer aux commerçants les mesures que la CNIL juge nécessaires de mettre en œuvre en vue de collecter et de traiter des données de cartes bancaires. Elle s’applique au traitement de données relatives à la carte de paiement dans le cadre de contrats de vente ou de prestations de services à distance conclus entre un consommateur et un professionnel.

La CNIL précise que la conservation des données relatives à la carte postérieurement à la réalisation de la transaction ne peut se faire qu’avec le consentement préalable de la personne concernée ou poursuivre l’intérêt légitime du responsable de traitement en ce qui concerne la lutte contre la fraude au paiement en ligne. Dans le second cas, le traitement doit fait l’objet d’une demande d’autorisation auprès de la CNIL, sur le fondement de l’article 25-1 de la loi du 6 janvier 1978 modifiée.

Seul le numéro de la carte, la date d’expiration et le cryptogramme visuel peuvent être collectés. L’identité du titulaire de la carte ne peut être enregistrée que dans le cadre de la lutte contre la fraude. Pour des raisons de sécurité, la photocopie ou la copie numérique de la carte ne peut être demandée.

D’une manière générale, la durée de conservation des données ne peut excéder le délai nécessaire à la réalisation de la transaction, c’est-à-dire au paiement effectif, augmenté le cas échéant du délai de rétractation prévu à l’article L. 121-20 du code de la consommation. Les commerçants en ligne peuvent quant à eux conserver le numéro de la carte et la date de validité, à l’exclusion du cryptogramme visuel, jusqu’à l’expiration des délais de réclamation des titulaires de cartes (treize mois conformément à l’article L. 133-24 du code monétaire et financier). Ce délai peut être étendu à quinze mois pour tenir compte de la possibilité d’utilisation de cartes à débit différé.

Les données conservées à fin de preuve doivent être versées en archives intermédiaires et utilisées uniquement en cas de contestation de la transaction.

Enfin, lorsque le numéro de la carte est utilisé à d’autres fins que le paiement, telles que la constitution d’un compte client visant à faciliter les achats ultérieurs ou la lutte contre la fraude, la durée de conservation ne peut excéder la durée nécessaire à l’accomplissement de cette finalité.

La CNIL rappelle également l’obligation d’information complète des titulaires de cartes qui doivent recevoir toutes précisions quant à l’identité du responsable de traitement, aux finalités du traitement, au caractère obligatoire ou facultatif des informations à fournir, aux droits d’opposition et de rectification …

L’information doit être particulièrement précise lorsque la conservation vise à dispenser le client de ressaisir le numéro de sa carte lors d’un prochain achat. Ce traitement implique le consentement préalable de la personne concernée. Ce consentement ne se présume pas et doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher. La CNIL précise que l’acceptation des conditions générales d’utilisation ou de vente ne peut être considérée comme une modalité suffisante de recueil du consentement. Le site Internet doit, en outre, prévoir un moyen simple de retirer, sans frais, le consentement donné.

Enfin, la commission recommande que les commerçants utilisent des services de paiement en ligne sécurisés et conformes à l’état de l’art et mettent en œuvre les mesures techniques et organisationnelles nécessaires en vue d’assurer la sécurité des traitements.

Pour conclure, il est intéressant de noter que la CNIL estime nécessaire, bien que la loi ne l’impose pas encore, de notifier toutes failles de sécurité aux personnes dont les données ont fait l’objet d’une violation, afin qu’elles puissent prendre les mesures appropriées pour pouvoir limiter les risques de réutilisation frauduleuses de leurs données.

Anne-Laure Villedieu, avocat associée. Elle intervient en matière de conseils, contentieux, rédactions d’actes et négociations notamment dans les domaines de droit d’auteur, droit de la propriété industrielle (marques, brevets, dessins et modèles), droit de l’informatique, des communications électroniques et protection des données personnelles.

Analyse juridique parue dans la revue Option Finance du 10 mars 2014