Paiements en ligne par carte bancaire : les nouvelles recommandations de la CNIL aux e-commerçants

Face aux nombreuses infractions constatées lors des paiements en ligne effectués par carte bancaire, la CNIL a émis de nouvelles recommandations.

Le numéro de carte

Il n'est pas légitime de l'utiliser comme identifiant commercial. Il peut uniquement servir à réaliser une transaction, réserver un bien ou un service, créer un compte pour des achats ultérieurs...

Quelles données peuvent être collectées lors d'un paiement ?

Vous ne pouvez uniquement collecter : le numéro de la carte, sa date d'expiration ainsi que le cryptogramme visuel.

Vous ne pouvez pas demander une copie de la carte ayant servi au paiement (même si une partie des numéros est masquée).

Préalables à la conservation des données relatives à la carte

Vous pouvez proposer à vos clients de conserver leur numéro de carte bancaire afin que lors d'un nouvel achat, ils n'aient pas à le saisir de nouveau.

Pour pouvoir y procéder, il faut recueillir leur consentement grâce à un acte de volonté explicite, comme par exemple le fait de cocher une case. Le fait que la case soit déjà pré-cochée n'est pas un acte de volonté explicite.

Sachez que l'acceptation des conditions générales d'utilisation ou de vente, ne suffit pas à recueillir ce consentement à la conservation des données de sa carte bancaire.

La CNIL conseille aux e-commerçants de permettre à leurs clients de retirer le consentement qu'ils auraient donné.

Mesures à prendre lorsque les données sont conservées

Lorsque votre client vous autorise à conserver les données de sa carte bancaire, il vous est recommandé de masquer tout ou partie du numéro de la carte lorsque celui-ci s'affiche, le remplacer par un numéro non signifiant, mettre un place un système de traçabilité permettant de détecter tout accès ou utilisation illégitime de ces données.

Si vous proposez à un client de collecter son numéro de carte par téléphone mais que celui-ci refuse, la CNIL vous recommande de lui proposer une solution alternative.

La CNIL recommande également la non-conservation des données de la carte bancaire sur les smartphones ou les ordinateurs des clients car ces terminaux ne sont pas assez sécurisés.

La commission préconise aussi que le titulaire de la carte puisse être alerté au moyen de notifications, des failles de sécurité ayant pu compromettre la confidentialité de leurs données, afin qu'il prenne les mesures adéquates (opposition, contestation paiements...)

Date : 9 mai 2014

Ce sujet vous intéresse ? Contactez-nous !
Contactez-nous
Téléphone