Stockage et utilisation du numéro de carte bancaire dans la vente par Internet

Recommandation de la CNIL relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente a distance (JO du 7 août 2003)

Par cette recommandation, la CNIL entend préciser les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents au numéro de carte bancaire.

Elle rappelle tout d'abord que toute utilisation du numéro de carte bancaire, quelle qu'en soit la finalité, doit se faire dans le respect des dispositions de la loi du 6 janvier 1978 : obligation de déclaration du traitement, information complète et claire des personnes lors de la collecte, exercice du droit d'opposition, d'accès et de rectification…

Elle précise que, dans ces même conditions, s'agissant de la lutte contre la fraude au paiement, un professionnel de la vente à distance est habilité à constituer un fichier lui permettant de conserver la trace d’agissements lui ayant porté préjudice.

La CNIL recommande ensuite que :

• l'utilisation du numéro de carte bancaire à des fins d’identification commerciale soit subordonnée, lorsque ce numéro est conservé au delà du temps nécessaire à la réalisation de la transaction, au recueil du consentement de la personne concernée ;
   
• soient mises en œuvre par les responsables de traitements des mesures permettant de garantir leur sécurité. Elle préconise ainsi notamment :
  • l'utilisation exclusive de systèmes de paiement en ligne sécurisés ;
  • l'absence de mémorisation des informations relatives au cryptogramme visuel (CVV2) de la carte bancaire des clients ;
  • la mise en place d'une politique stricte quant à l'accès au numéro de carte bancaire des clients par le personnel ;
  • le recours à des procédés techniques permettant de crypter de manière irréversible le numéro de carte bancaire, enregistré dans une base de donnée, dès lors que la transaction a été réalisée.

Commentaire

Cette recommandation de la CNIL fait suite à une large concertation engagée auprès des principales fédérations professionnelles et à un appel à contributions publiques ayant reçu plus de 2 300 réponses.

La CNIL y souligne le fait que le numéro de carte bancaire n'est plus aujourd'hui qu'un simple instrument de paiement. Il est devenu un véritable identifiant, utilisé à des fins de lutte contre la fraude au paiement et surtout à des fins commerciales, au delà d'une transaction donnée. Par conséquent, la CNIL entend encourager les commerçants et autres prestataires à prendre toutes les mesures permettant d'allier les impératifs de sécurité, la protection des intérêts des individus et le développement du commerce électronique.

Enfin, il convient de noter que la CNIL a défini le champs d'application de la recommandation qui concerne :

• la vente d’un bien ou la fourniture d’une prestation de service par un professionnel à un consommateur, dès lors que le contrat est conclu, sans la présence physique simultanée des parties, par une ou plusieurs techniques de communication à distance ;
   
• l'utilisation d'un numéro de carte bancaire, c'est-à-dire le numéro et la date de validité figurant sur le recto des cartes de paiement « CB » émises par les banques et utilisables chez les commerçants et prestataires de services affiliés au réseau « CB ».

La recommandation ne s’applique donc ni aux cartes dites privatives, c’est à dire émises par les établissements financiers spécialisés dans le crédit à la consommation ou encore directement par des commerçants, ni aux cartes dites accréditives.