Nouvelle délibération de la CNIL en matière de cartes de paiement

Soyez à jour en matière de collecte et de conservation des données de cartes de paiement de vos clients.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté, par une délibération du 20 juillet dernier une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fournitures de services à distance, qui abroge une précédente délibération sur le même sujet du 14 novembre 2013.

Pour rappel, les recommandations de la CNIL traduisent la position de la CNIL sur l’interprétation des dispositions applicables au domaine qui fait l'objet de la recommandation considérée.

Cette nouvelle recommandation s’applique au traitement des données relatives aux cartes de paiement lors de toute vente de bien ou prestation de service conclue à distance (en ligne ou par téléphone par exemple) entre un consommateur et un professionnel.

Elle concerne tant les cartes de type CB, Visa, Mastercard ou d’autres réseaux de paiement, que les cartes privatives, c’est-à-dire émises par un commerçant ou un organisme de crédit à la consommation, ou encore les cartes accréditives, c’est-à-dire les cartes présentées par un adhérent à un fournisseur affilié au réseau de l’émetteur de la carte.

Cette recommandation rappelle tout d’abord que la protection des données personnelles implique «  la capacité de l’individu à maitriser la collecte, l’enregistrement et l’utilisation des données à caractère personnel qu’il est tenu de communiquer dans le cadre d’un paiement ». A cet égard, la finalité première est la réalisation d’une transaction en vue de la délivrance d’un bien ou la prestation d’un service en contrepartie du paiement d’un prix. D’autres finalités sont toutefois reconnues :

 Réservation d’un bien ;
 Règlement d’abonnement ;
 Conservation du numéro de la carte pour faciliter des paiements ultérieurs ;
 Solutions de paiement dédiées à la vente à distance telles que les cartes virtuelles ou porte-cartes numériques par exemple ;
 Lutte contre la fraude.

Les données recueillis pour une finalité spécifique ne peuvent être utilisées pour une autre finalité. Ainsi, les données recueillis pour un abonnement ne peuvent servir pour faciliter des paiements ponctuels et réciproquement.

En fonction de la finalité du traitement, la base légale de la conservation pourra varier et le responsable du traitement devra s’assurer de s’y conformer. Ainsi par exemple, des données recueillies pour un paiement unique n’ont pas vocation à être conservées au-delà de la transaction. La conservation des données pour faciliter des paiements ultérieurs constitue un service commercial indépendant du contrat conclu et doit donner lieu à un consentement spécifique. La conservation de données dans le cadre d’une lutte contre la fraude doit pour sa part faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL et ne saurait aboutir à un refus de vente mais seulement à refuser ce mode de paiement.

Quant aux données conservées, seul le numéro, la date d’expiration et le cryptogramme peuvent être conservés. L’identité du titulaire ne peut être conservée, outre le cas où cette donnée est requise pour la réalisation de la transaction, que lorsqu’elle poursuit une finalité déterminée et légitime, comme la lutte contre la fraude.

Cette recommandation détaille également la durée pendant laquelle la conservation des données est admissible. Ainsi par exemple, pour un paiement unique, les données de la carte peuvent être conservées pour la durée de réalisation de la transaction, c’est-à-dire jusqu’au paiement effectif, lequel peut être différé à la réception du bien par exemple, augmenté le cas échéant du délai de rétractation applicable. 

La recommandation détaille par ailleurs l’information à fournir au client, ainsi que les principes à respecter en matière de mesures de sécurité à mettre en œuvre. 

Toutes les entreprises procédant à des ventes à distance auront intérêt à s’assurer que leurs traitements de données sont conformes avec ces nouvelles recommandations.