En tête des recommandations, la Commission souligne que le numéro de la carte de paiement ne peut en aucun cas être utilisé comme moyen d'identification. Ainsi la collecte de ce numéro par un site Internet, écrit la Cnil, ne peut avoir pour finalité que :
- La réalisation d'une transaction
- La réservation d'un bien ou d'un service
- La création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant
- L'offre de solutions de paiement dédiées à la vente à distance par des prestataires du paiement
- La lutte contre la fraude à la carte de paiement
En outre la Cnil rappelle que le périmètre de la récolte de données bancaire est limité strictement au numéro de la carte, à la date d'expiration ainsi qu'au cryptogramme visuel. Pour des raisons « légitimes » liées à la lutte anti-fraude, elle autorise la collectée d'autres données - sans préciser lesquelles - mais proscrit la transmission d'une photocopie de ladite carte à un e-commerçant, même si les éléments sont masqués.
Pour ce qui est de la conservation des données bancaires entre deux visites, ce qui est utilisé pour accélérer le parcours d'achat de l'internaute, la Cnil indique que le consentement préalable de la personne est obligatoire. « Celui-ci ne se présume pas et doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher et non pré-cochée par défaut », précise la Commission, qui considère que l'acceptation des conditions générales d'utilisation ou de vente « n'est pas considérée comme suffisante ».
Protéger la confidentialité des données
La Cnil ajoute que ces pratiques doivent respecter certaines règles de sécurité visant à protéger la confidentialité des données client récoltées, comme la non-conservation des données de paiement sur le smartphone, ta tablette ou l'ordinateur du client, « car ils ne sont pas conçus pour assurer la sécurité des données bancaires ». Parmi ces règles, la Cnil recommande aussi :- Le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage
- Le remplacement du numéro de carte par un numéro non signifiant
- La traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable
En cas de faille de sécurité liée aux données bancaires identifiée par le e-commerçant, la Commission conseille à ce dernier d'en avertir ses clients afin qu'ils prennent « les mesures appropriées pour limiter les risques de réutilisation frauduleuse de la carte ». Elle les enjoint aussi à renforcer encore le processus d'identification - comme le 3D-Secure. Rappelons que de manière générale, les e-marchands ne goûtent pas forcément à ce genre de dispositif qu'ils voient avant tout comme un facteur d'abandon de panier.
