Cartes bancaires et paiement à distance : les recommandations de la Cnil

mardi 4 mars 2014
popularité : 2%

La Commission nationale de l’informatique et des libertés (Cnil) a décidé d’actualiser ses recommandations concernant l’utilisation des cartes bancaires, moyen de paiement privilégié par les consommateurs lors des transactions à distance.

Pour la Cnil, l’emploi du numéro de la carte de paiement comme identifiant commercial n’est pas légitime. La collecte du numéro de carte a en effet uniquement comme objectif de :

réaliser une transaction,
réserver un bien ou un service,
créer un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant,
offrir des solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement,
lutter contre la fraude à la carte de paiement.

Les données strictement nécessaires à la réalisation d’une transaction sont le numéro de la carte, la date d’expiration et le cryptogramme visuel. Attention, un commerçant en ligne ne peut pas demander la transmission d’une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.

Lorsque les données relatives à la carte sont conservées en ligne par le commerçant afin d’éviter au consommateur de ressaisir son numéro de carte lors d’un achat ultérieur, le consentement préalable est obligatoire (le commerçant devant intégrer également sur son site un moyen simple de retirer, sans frais, le consentement donné). Dans ce cas, des mesures de sécurité supplémentaires sont préconisées :

masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage,
remplacement du numéro de carte par un numéro non signifiant,
traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable.

La Cnil demande également que le titulaire de la carte puisse recevoir une notification des failles de sécurité conduisant à la compromission de ses données bancaires afin de prendre les mesures nécessaires devant limiter les risques de réutilisation frauduleuse de la carte. Enfin, la Cnil préconise la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance.

Pour établir l’ensemble de ces nouvelles recommandations, la Cnil a consulté différentes parties prenantes : Banque de France, groupement des cartes bancaires, représentants des principales associations de consommateurs et acteurs du e-commerce et de la vente à distance.

Les recommandations de la CNIL


0 vote

Commentaires

Annonces

NOS EMISSIONS SUR FR3

Dans la "Galerie", vous trouverez les émissions diffusées lors des années précédentes...
Hélas 2016 n’a pas vu de diffusions de "flashconsos", mais tout devrait reprendre vers mi 2017, nous vous tiendrons informés !