Les données des cartes bancaires conservées par les sites marchands

De plus en plus, les sites marchands conservent les données des cartes bancaires des internautes. Certains, dans le cadre de contrats à exécution successive, prélèvent automatiquement à chaque échéance le montant de l’abonnement sans intervention de l’internaute. D’autres, facilitent ainsi les modalités de paiement pour des transactions ponctuelles.

Il s’agit d’une évolution de l’utilisation de la carte bancaire, initialement conçue pour des opérations uniques.

Obligation du professionnel : la déclaration auprès de la CNIL : 

La C.N.I.L. a rendu une délibération n°03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance.

Ainsi, pour pouvoir conserver les données de la carte bancaire, le site marchand doit avoir procédé à une déclaration normale auprès de la C.N.I.L. — la déclaration simplifiée éventuellement applicable étant insuffisante.

Les conditions générales du site marchand doivent en principe mentionner le numéro de ladite déclaration.

L’internaute peut-il être obligé d’accepter la conservation de ses données bancaires ?

Non. Le site marchand doit demander l’accord de l’internaute pour la conservation des données bancaires, l’accord pouvant être retiré à tout moment.

La C.N.I.L. recommande que l’internaute consente à la conservation des données de sa carte bancaire au moyen d’une simple case à cocher — étant précisé que la dite case ne doit pas être pré-cochée.

Conséquence : la conservation des données bancaires ne doit pas être une condition du contrat proposé à l’internaute par le site marchand. D’autres moyens de paiement doivent en principe être proposés.

Quelles données bancaires conservées ? 

Le site marchand conserve le numéro de la carte bancaire et sa date d’expiration. Il ne doit pas conserver le cryptogramme de sécurité. Celui-ci est demandé une première fois par le site marchand mais son indication ne sera plus nécessaire à chaque paiement, le contrôle contre la fraude ayant déjà eu lieu lors de la première utilisation.

Conséquence : en principe, la conservation des données de la carte bancaire cesse par l’arrivée de la date l’expiration de la carte de paiement.

Quelle sécurité pour l’internaute ? 

Le paiement des transactions se fait via des plateformes de paiement sécurisé.

La C.N.I.L. recommande en outre que le site marchand utilise des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire conservé notamment par l’utilisation d’un algorithme dit fort. Elle recommande encore que le site marchand limite les personnes pouvant avoir accès à ces données.

Documentissime

Tags : , , , , ,

Laisser un commentaire