La CNIL a rendu une délibération n°2018-303 de 6 septembre 2018, portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n°2017-222 du 20 juillet 2017.
La CNIL a estimé nécessaire d’actualiser sa recommandation précédente, de 2017, sur le sujet des données relatives à la carte de paiement, « au regard de l’évolution des pratiques du commerce en ligne, ainsi que de celle du cadre légal et technologique ». Ainsi, cette nouvelle recommandation abroge celle de 2017.
Cette nouvelle recommandation s’applique au traitement de données relatives à la carte de paiement, lors de toute vente d’un bien ou fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs technique(s) de communication à distance.
Sur le point de savoir si ce type de traitement nécessite une analyse d’impact, la CNIL indique que les données financières, dont les données relatives aux cartes de paiement, doivent être qualifiées de « données à caractère hautement personnel », compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer. Ainsi, selon l’« ampleur du traitement », la conduite d’une analyse d’impact pourrait être nécessaire. Il s’agit là d’une nouveauté, par rapport à la délibération du 20 juillet 2017, induite par l’entrée en application du RGPD.
Dans cette délibération, la CNIL indique les bases légales qui pourraient être utilisées par les responsables du traitement :
- s’agissant d’un paiement unique ou d’un abonnement impliquant des paiements multiples, de même que s’agissant de traitement de données bancaires dans le cadre de la souscription d’une solution de paiement dédiée à la vente à distance par des prestataires de services de paiement, la base légale sera généralement l’exécution contractuelle ;
- s’agissant de la conservation de numéro de carte bancaire afin de faciliter les éventuels paiements ultérieurs, la CNIL indique qu’il est nécessaire de recueillir un consentement libre, spécifique, éclairé et univoque ;
- s’agissant de la souscription à un abonnement qui donne accès à des prestations additionnelles à celles accessibles à tout client (ex : livraison rapide, accès à des ventes privées ou à des contenus complémentaires, etc.), celle-ci peut traduire l’intention du client de s’inscrire dans une relation commerciale régulière. De ce fait, le traitement pourrait être basé sur l’intérêt légitime du responsable du traitement, la personne pouvant s’attendre à ce que ses données bancaires soient conservées pour simplifier ses achats ultérieurs. Il s’agit en tout état de cause d’un cas de figure nouvellement envisagé par la CNIL, qui n’était pas présent au sein de sa délibération précédente.
- De même, la conservation des données au-delà de la réalisation d’une transaction, à des fins de lutte contre la fraude à la carte de paiement, ne rentre pas dans le cadre du contrat mais relève en réalité de l’intérêt légitime du responsable du traitement.
S’agissant des données collectées, la CNIL admet la collecte du numéro de carte, de sa date d’expiration ainsi que du cryptogramme. L’identité du titulaire ne devrait pas être collectée, sauf si cela est justifié notamment par la lutte contre le blanchiment. La photocopie ou la copie numérique de la carte ne devrait jamais être demandée.
Pour ce qui est de la durée de conservation, la CNIL rappelle que :
- s’agissant de paiements uniques, la durée de conservation des données doit correspondre au délai nécessaire à la réalisation de la transaction ;
- s’agissant des abonnements impliquant des paiements échelonnés, la conservation est justifiée jusqu’à la dernier échéance de paiement, ou jusqu’à la résiliation de l’abonnement si celui-ci prévoit une tacite reconduction ;
- s’agissant des commerçants en ligne, ceux-ci peuvent conserver le numéro de la carte et la date de validité dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement, pendant 13 mois (15 mois s’agissant des cartes à débit différé) ;
- s’agissant d’une collecte par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, la conservation est possible jusqu’à la clôture du compte. Il conviendra ensuite d’archiver les données.
La CNIL prohibe toujours la conservation du cryptogramme après la transaction, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.
