Délibération n° 2017-222 du 20 juillet 2017 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013

Date de signature :20/07/2017 Statut du texte :En vigueur
Date de publication :07/09/2017 Emetteur :Commission nationale de l'informatique et des libertés
Consolidée le : Source :JO du 7 septembre 2017
Date d'entrée en vigueur :08/09/2017
Délibération n° 2017-222 du 20 juillet 2017 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013 

NOR: CNIL1725074X

La Commission nationale de l'informatique et des libertés, Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :
La commission a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance.
Dix ans après l'adoption de cette recommandation, la commission a adopté une nouvelle délibération visant à l'actualiser et à proposer des préconisations concrètes à l'utilisation du numéro de carte bancaire par les professionnels de la vente à distance dans un traitement automatisé.
Les plaintes reçues par la commission, ainsi que les différents contrôles menés ces dernières années, ont mis en lumière la nécessité d'actualiser de nouveau ses recommandations afin d'apporter des réponses concrètes aux différentes parties prenantes et de prendre en compte l'évolution du cadre légal et technologique.
Les dispositions de la présente recommandation, qui abroge celle de 2013, s'appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire), ci-après « la carte », lors de toute vente d'un bien ou fourniture d'une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (internet, téléphone, etc.).
Les cartes de paiement visées sont celles qui permettent notamment d'effectuer des achats chez un commerçant ou un prestataire de services affiliés à un réseau de paiement national ou international (système CB, Visa, MasterCard, etc.) mais aussi les cartes de paiement dites privatives (cartes émises par les commerçants ou par les établissements financiers spécialisés dans le crédit à la consommation) et accréditives (carte présentée par un adhérent à un fournisseur affilié au réseau de l'émetteur de la carte).
La présente délibération a pour objet, en l'état du droit et des procédés actuels de paiement, de préciser les recommandations de la commission et les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents à des données relatives à la carte de paiement.

Article 1

Finalités du traitement.
La protection des données personnelles, et par là même de la vie privée, implique la capacité de l'individu à maîtriser la collecte, l'enregistrement et l'utilisation des données à caractère personnel qu'il est tenu de communiquer dans le cadre d'un paiement.
La finalité première de l'utilisation d'un numéro de carte de paiement est de permettre la réalisation d'une transaction visant à la délivrance d'un bien ou la prestation d'un service en contrepartie du complet paiement d'un prix.
La collecte des données relatives à une carte de paiement remplit toutefois d'autres finalités, liées à la particularité des opérations à distance :

 

La commission considère que ces finalités sont déterminées, explicites et légitimes.
Elle rappelle que les données collectées et traitées aux fins de règlement de paiements multiples dans le cadre d'abonnements ne peuvent être ultérieurement utilisées pour une autre finalité telle que, par exemple, faciliter des paiements ponctuels ultérieurs et inversement.
En outre, compte tenu de la sensibilité de cette donnée, le numéro de la carte de paiement ne peut être utilisé comme identifiant commercial.

Article 2

Base légale du traitement.
La commission considère que la base légale du traitement des données bancaires peut varier en fonction de la finalité poursuivie par le traitement de données bancaires, de la nature de la transaction conclue et des modalités de son exécution, conformément à l'article 7 de la loi du 6 janvier 1978 modifiée.
La commission rappelle qu'il appartient au responsable de traitement de s'assurer des conditions de licéité de son traitement et, notamment de la base légale sur laquelle le fonder.
1. Le paiement unique :
La commission relève que le numéro de carte bancaire ne peut être collecté et traité que pour permettre la réalisation d'une transaction dans le cadre de l'exécution du contrat conclu par la personne concernée conformément à l'article 7 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée. Ainsi, en cas de contrat impliquant un paiement unique, la commission estime que les données n'ont donc pas vocation à être conservées au-delà du temps de transaction commerciale.
2. L'abonnement impliquant des paiements multiples :
La commission considère que, dans le cadre d'un contrat d'abonnement souscrit en ligne impliquant, de fait, des paiements successifs et réguliers, la conservation des données bancaires satisfait également à la condition prévue à l'article 7 (4°) de la loi n° 78-17 du 6 janvier 1978 modifiée.
3. Les solutions de paiement dédiées à la vente à distance :
En ce qui concerne le traitement des données bancaires dans le cadre de la souscription d'une solution de paiement dédiée à la vente à distance par des prestataires de services de paiement (cartes virtuelles, porte-cartes numérique - « wallets », comptes rechargeables, etc.), la commission estime que la communication des coordonnées bancaires entre également dans le cadre de l'exécution du contrat, celui-ci visant précisément à conserver les données relatives à la carte de paiement afin d'éviter aux consommateurs d'avoir à les saisir lors d'achats effectués à distance.
4. Le service commercial permettant de faciliter les éventuels paiements ultérieurs :
La commission estime que la conservation du numéro de la carte du client afin de faciliter ses éventuels paiements ultérieurs sur le site du commerçant va au-delà de l'exécution du contrat conclu.
Elle retient que cela constitue un service commercial indépendant de l'acte initial ayant conduit à la collecte des coordonnées bancaires et rappelle qu'un tel traitement nécessite que soit recueilli au préalable le consentement libre, spécifique et éclairé des personnes, en application de l'article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée.
5. La lutte contre la fraude à la carte de paiement :
S'agissant de la finalité de la lutte contre la fraude à la carte de paiement, la commission estime que la conservation des données relatives à la carte de paiement au-delà de la réalisation d'une transaction outrepasse également le cadre du contrat. Elle considère que ce traitement ne peut se faire que si cela participe de la réalisation d'un intérêt légitime du responsable de traitement et ce, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés des personnes en application de l'article 7 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée.
A cet égard, la commission rappelle qu'un traitement visant à utiliser des données relatives à la carte à des fins de lutte contre la fraude au paiement et, le cas échéant, conserver une trace de comportements frauduleux ayant généré des impayés lui ayant porté préjudice doit faire l'objet d'une demande d'autorisation sur le fondement des dispositions de l'article 25-I (4°) de la loi du 6 janvier 1978 modifiée. L'utilisation du numéro de carte pour cette finalité ne saurait aboutir à un refus de vente, même si elle peut conduire légitimement le commerçant à refuser ce mode de paiement.


Article 3

Les données collectées.

Les données nécessaires à la réalisation d'une transaction à distance par carte de paiement sont le numéro de la carte, la date d'expiration et le cryptogramme visuel.
La commission rappelle que seules les données adéquates, pertinentes et non excessives au regard de la finalité du traitement doivent être collectées.
S'agissant de l'identité du titulaire de la carte, dès lors que cette donnée n'est pas requise pour la réalisation d'une transaction en ligne, elle ne doit pas être collectée par le système de paiement sauf lorsqu'elle est justifiée pour la poursuite d'une finalité déterminée et légitime, telle que la lutte contre la fraude.
La commission considère également que le responsable de traitement, ou son prestataire, ne peut demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement, même si le cryptogramme visuel et une partie des numéros sont masqués. En effet, la transmission de ce document n'est pas compatible avec les obligations de sécurité et les conditions d'utilisation que doit respecter le titulaire de la carte de paiement conformément à l'article L. 133-16 du code monétaire et financier.

Article 4

Sur la durée de conservation des données.
La commission rappelle qu'en application de l'article 6 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée les données doivent être conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Elle rappelle à cet égard que la conservation du cryptogramme après la réalisation de la première transaction est interdite, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.
1. Les paiements uniques et abonnements :
La commission précise que :

 

2. La gestion des réclamations :
S'agissant des commerçants en ligne, le risque financier d'une utilisation non autorisée pesant in fine sur ces derniers dans le cas où ils n'ont pas mis en œuvre un système d'authentification de leurs clients, la commission estime qu'ils peuvent conserver le numéro de carte et la date de validité de celle-ci dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement. Les données peuvent être conservées pour la durée prévue par l'article L. 133-24 du code monétaire et financier, en l'occurrence 13 mois suivant la date de débit. Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d'utilisation de cartes de paiement à débit différé.
Les données ainsi conservées à des fins de preuve doivent être versées en archives intermédiaires et utilisées uniquement en cas de contestation de la transaction. Les numéros de carte de paiement conservés à cette fin doivent faire l'objet de mesures de sécurité techniques, telles que décrites à l'article 6 de la présente recommandation, visant à prévenir toute réutilisation illégitime.
3. La lutte contre le blanchiment :
Dans les cas où les données relatives à la carte seraient collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu'à la clôture du compte puis, le cas échéant, archivées conformément aux obligations légales en la matière.
4. Autres finalités :
Dans les cas où le numéro de la carte serait utilisé à d'autres fins, telles que la constitution d'un compte client visant à faciliter les achats ultérieurs ou la lutte contre la fraude, sa durée de conservation ne saurait excéder la durée nécessaire à l'accomplissement de cette finalité.

Article 5

Les droits des personnes.
1. L'obligation générale d'information :
Toute utilisation du numéro de carte de paiement, quelle qu'en soit la finalité, doit faire l'objet d'une information complète et claire auprès des personnes.
De manière générale, la personne concernée est informée de l'identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des informations à renseigner, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de la durée de conservation des catégories de données traitées, de l'existence et des modalités d'exercice de ses droits d'accès, de rectification et d'opposition au traitement de ses données, dont celui de définir des directives relatives au sort de ses données à caractère personnel après la mort et le cas échéant des transferts de données hors Union européenne.
Dans l'hypothèse où les données relatives à la personne ont été communiquées à un tiers par le commerçant, celui-ci doit informer ces tiers sans délai de l'exercice du droit d'opposition ou de rectification par la personne concernée.
Lorsque les données sont recueillies par voie de questionnaire, celui-ci doit porter mention de ces informations conformément au dernier alinéa de l'article 32 de la loi du 6 janvier 1978 modifiée.
2. L'information lors de la reconduction tacite de l'abonnement :
En ce qui concerne les contrats d'abonnement avec reconduction tacite, la commission rappelle que le responsable de traitement est tenu d'informer la personne concernée de la reconduction tacite de son contrat et, sauf opposition de sa part, de la conservation de ses coordonnées bancaires pour le paiement des échéances du nouveau contrat.
3. L'information lors de la conservation des données aux fins de faciliter des paiements ultérieurs :
Lorsque les données relatives à la carte sont conservées au-delà du temps strictement nécessaire à la réalisation de la transaction, pour simplifier un paiement ultérieur, la commission considère que ce traitement doit également avoir reçu le consentement libre, spécifique et informé de la personne concernée, conformément aux dispositions de l'article 7 de la loi du 6 janvier 1978 modifiée.
La commission estime, en effet, que ces données ne sont pas collectées pour permettre la réalisation d'un paiement mais pour offrir un service supplémentaire au client, en l'occurrence ne pas avoir à ressaisir son numéro de carte lors d'un prochain achat. Dès lors, ce traitement de données doit être effectué avec le consentement préalable de la personne concernée. Celui-ci ne se présume pas et doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher (non pré-cochée par défaut). L'acceptation des conditions générales d'utilisation ou de vente n'est pas considérée comme une modalité suffisante du recueil du consentement des personnes.
La commission recommande également que le responsable de traitement intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement donné pour la conservation des données de la carte afin de faciliter les achats ultérieurs.


Article 6

Les mesures de sécurité.
La commission considère que la responsabilité du traitement visant à conserver le numéro de la carte du client afin de faciliter ses éventuels achats ultérieurs sur un site marchand ou pour le règlement d'un abonnement incombe en principe au commerçant bénéficiant du stockage des données relatives à la carte, c'est-à-dire à celui au bénéfice duquel les transactions réalisées avec les données stockées seront opérées. Les prestataires qui réalisent le stockage des données relatives à la carte pour le compte du commerçant ont la qualité de sous-traitant et sont tenus à la mise en place de mesures de sécurité adaptées.
La commission observe que les pratiques liées à la collecte du numéro de carte de paiement entraînent la multiplication de bases de données pouvant potentiellement faire l'objet d'une réutilisation frauduleuse, en cas notamment de faille de sécurité aboutissant à la compromission de ces données.
La commission considère en conséquence que les responsables de traitement doivent s'efforcer d'élaborer et d'adopter des pratiques exemplaires et promouvoir des comportements qui tiennent compte des impératifs de sécurité et qui respectent les intérêts légitimes des individus.
A cet égard, la commission rappelle que :

 

Ceci étant rappelé, elle recommande que :

 


Article 7

La délibération n° 2013-358 du 14 novembre 2013 est abrogée.
La présente délibération sera publiée au Journal officiel de la République française.

La présidente,
I. Falque-Pierrotin

Source Légifrance