Nouvelle délibération de la CNIL en matière de cartes de paiement
Soyez à jour en matière de collecte et de conservation des données de cartes de paiement de vos clients.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté, par une délibération du 20 juillet dernier une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fournitures de services à distance, qui abroge une précédente délibération sur le même sujet du 14 novembre 2013.
Pour rappel, les recommandations de la CNIL traduisent la position de la CNIL sur l’interprétation des dispositions applicables au domaine qui fait l’objet de la recommandation considérée.
Cette nouvelle recommandation s’applique au traitement des données relatives aux cartes de paiement lors de toute vente de bien ou prestation de service conclue à distance (en ligne ou par téléphone par exemple) entre un consommateur et un professionnel.
Elle concerne tant les cartes de type CB, Visa, Mastercard ou d’autres réseaux de paiement, que les cartes privatives, c’est-à-dire émises par un commerçant ou un organisme de crédit à la consommation, ou encore les cartes accréditives, c’est-à-dire les cartes présentées par un adhérent à un fournisseur affilié au réseau de l’émetteur de la carte.
Cette recommandation rappelle tout d’abord que la protection des données personnelles implique « la capacité de l’individu à maitriser la collecte, l’enregistrement et l’utilisation des données à caractère personnel qu’il est tenu de communiquer dans le cadre d’un paiement ». A cet égard, la finalité première est la réalisation d’une transaction en vue de la délivrance d’un bien ou la prestation d’un service en contrepartie du paiement d’un prix. D’autres finalités sont toutefois reconnues :
Réservation d’un bien ;
Règlement d’abonnement ;
Conservation du numéro de la carte pour faciliter des paiements ultérieurs ;
Solutions de paiement dédiées à la vente à distance telles que les cartes virtuelles ou porte-cartes numériques par exemple ;
Lutte contre la fraude.
Les données recueillis pour une finalité spécifique ne peuvent être utilisées pour une autre finalité. Ainsi, les données recueillis pour un abonnement ne peuvent servir pour faciliter des paiements ponctuels et réciproquement.
En fonction de la finalité du traitement, la base légale de la conservation pourra varier et le responsable du traitement devra s’assurer de s’y conformer. Ainsi par exemple, des données recueillies pour un paiement unique n’ont pas vocation à être conservées au-delà de la transaction. La conservation des données pour faciliter des paiements ultérieurs constitue un service commercial indépendant du contrat conclu et doit donner lieu à un consentement spécifique. La conservation de données dans le cadre d’une lutte contre la fraude doit pour sa part faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL et ne saurait aboutir à un refus de vente mais seulement à refuser ce mode de paiement.
Quant aux données conservées, seul le numéro, la date d’expiration et le cryptogramme peuvent être conservés. L’identité du titulaire ne peut être conservée, outre le cas où cette donnée est requise pour la réalisation de la transaction, que lorsqu’elle poursuit une finalité déterminée et légitime, comme la lutte contre la fraude.
Cette recommandation détaille également la durée pendant laquelle la conservation des données est admissible. Ainsi par exemple, pour un paiement unique, les données de la carte peuvent être conservées pour la durée de réalisation de la transaction, c’est-à-dire jusqu’au paiement effectif, lequel peut être différé à la réception du bien par exemple, augmenté le cas échéant du délai de rétractation applicable.
La recommandation détaille par ailleurs l’information à fournir au client, ainsi que les principes à respecter en matière de mesures de sécurité à mettre en œuvre.
Toutes les entreprises procédant à des ventes à distance auront intérêt à s’assurer que leurs traitements de données sont conformes avec ces nouvelles recommandations.
Découvrez nos services et outils associés
Et les ressources sur le même thème : ""
Réseaux de distribution, Concurrence
The legal risk associated with the issuance of market statements in the dip
Jean-Baptiste Gouache (Lawyer – Partner) Member of the College of Experts of the French Franchise Federation Market status is a point of legal risk for all brands that are required to issue a dip. To master it, it is first necessary to know what a market state is, before setting up the int…
Réseaux de distribution, Concurrence
Franchise or selective distribution: which contract to choose?
Do you want to replicate a proven concept or control the image of your products? The franchise transmits know-how, selective distribution selects resellers. Two logics, a decisive choice for your network.
Réseaux de distribution, Concurrence
How to create and structure a distribution network: legal guide
Do you want to deploy a high-performance and secure distribution network? This legal guide offers you the keys to choosing the right contract (franchise, selective distribution, mandate management, etc.), mastering the steps and avoiding the risks of competition law.
Réseaux de distribution, Concurrence
Entrée en vigueur du Digital Markets Act
Le Digital Markets Act, signé le 14 septembre 2022 et publié au Journal officiel de l’Union européenne le 12 octobre 2022, est partiellement entré en vigueur le 1er novembre 2022. Le 24 mars 2022, le Conseil de l’Union européenne et le Parlement européen sont parvenus à un accord polit…
