La Cnil met à jour ses recommandations sur le paiement en ligne

Thomas Pontiroli
Publié le 26 février 2014 à 16h50
Il était temps que la Cnil renouvelle ses recommandations liées au paiement en ligne. La Commission met un accent particulier sur la confidentialité des données relatives à la carte de paiement.

0104000007195868-photo-carte-cr-dit-paiement.jpg
Suite à la multiplication des plaintes et à ses observations de terrain, la Commission nationale de l'informatique et des libertés (Cnil) a mis à jour ses recommandations sur le paiement en ligne, vieilles de dix ans. Elle a été aidée par la Banque de France, le Groupement des cartes bancaires et les représentants des principales associations de consommateurs et des acteurs du e-commerce.

En tête des recommandations, la Commission souligne que le numéro de la carte de paiement ne peut en aucun cas être utilisé comme moyen d'identification. Ainsi la collecte de ce numéro par un site Internet, écrit la Cnil, ne peut avoir pour finalité que :

  • La réalisation d'une transaction
  • La réservation d'un bien ou d'un service
  • La création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant
  • L'offre de solutions de paiement dédiées à la vente à distance par des prestataires du paiement
  • La lutte contre la fraude à la carte de paiement

En outre la Cnil rappelle que le périmètre de la récolte de données bancaire est limité strictement au numéro de la carte, à la date d'expiration ainsi qu'au cryptogramme visuel. Pour des raisons « légitimes » liées à la lutte anti-fraude, elle autorise la collectée d'autres données - sans préciser lesquelles - mais proscrit la transmission d'une photocopie de ladite carte à un e-commerçant, même si les éléments sont masqués.

Pour ce qui est de la conservation des données bancaires entre deux visites, ce qui est utilisé pour accélérer le parcours d'achat de l'internaute, la Cnil indique que le consentement préalable de la personne est obligatoire. « Celui-ci ne se présume pas et doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher et non pré-cochée par défaut », précise la Commission, qui considère que l'acceptation des conditions générales d'utilisation ou de vente « n'est pas considérée comme suffisante ».

Protéger la confidentialité des données

La Cnil ajoute que ces pratiques doivent respecter certaines règles de sécurité visant à protéger la confidentialité des données client récoltées, comme la non-conservation des données de paiement sur le smartphone, ta tablette ou l'ordinateur du client, « car ils ne sont pas conçus pour assurer la sécurité des données bancaires ». Parmi ces règles, la Cnil recommande aussi :

  • Le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage
  • Le remplacement du numéro de carte par un numéro non signifiant
  • La traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable

En cas de faille de sécurité liée aux données bancaires identifiée par le e-commerçant, la Commission conseille à ce dernier d'en avertir ses clients afin qu'ils prennent « les mesures appropriées pour limiter les risques de réutilisation frauduleuse de la carte ». Elle les enjoint aussi à renforcer encore le processus d'identification - comme le 3D-Secure. Rappelons que de manière générale, les e-marchands ne goûtent pas forcément à ce genre de dispositif qu'ils voient avant tout comme un facteur d'abandon de panier.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles