Le règlement (UE) n° 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, qui entrera en vigueur le 25 mai 2018, créera un chamboulement majeur pour les petites et grandes entreprises, lesquelles seront soumises à des obligations renforcées en termes de protection de leurs fichiers informatiques. Dans la ligne droite de la Loi informatique et libertés du 6 janvier 1978, les responsables de traitement seront en effet soumis à un système d’autocontrôle, de sorte qu’ils ne pourront exploiter des données à caractère personnel (données de géolocalisation, numéros de carte bancaire, adresse,…) que dans la stricte limite et pour les seuls intérêts légitimes de la finalité poursuivie par ce traitement.
Afin d’accompagner les entreprises dans cette révolution, la CNIL vient de rendre une délibération pour préciser les mesures à mettre en place lorsqu’une entreprise utilise et stocke un numéro de carte bancaire afin d’opérer un paiement en matière de vente de biens ou de fourniture de services à distance, que ce soit par Internet ou par téléphone.
En effet, l’objectif de cette délibération, tout comme du règlement européen susvisé, est d’assurer la protection des données personnelles et par-là même de la vie privée, impliquant la nécessité de restaurer la capacité pour l’individu de maîtriser la collecte, l’enregistrement et l’utilisation des données à caractère personnel qu’il est tenu de communiquer dans le cadre d’un paiement.
La ligne directrice de cette délibération n’est pas nouvelle, puisqu’elle résulte de l’article 7 de la Loi informatique et libertés du 6 janvier 1978 : le responsable du traitement doit s’assurer que le traitement de données à caractère personnel qu’il opère est licite, ce qui est le cas notamment lorsqu’il a pour finalité l’exécution d’un contrat auquel la personne concernée est partie.
Au vu de cette finalité, mais également de la nature de la transaction conclue et des modalités de son exécution, le responsable de traitement devra limiter l’exploitation des données au strict nécessaire, ce qui engendrera des obligations adaptées à chaque type de traitement, soit :
– Le paiement unique ou l’abonnement : les données ne doivent pas être conservées au-delà du temps de transaction commerciale ;
– Les solutions de paiement dédiées à la vente à distance (carte virtuelle, porte-carte numérique, compte rechargeable,…) : la communication des coordonnées bancaires entre bien dans le cadre de l’exécution du contrat, celui-ci visant précisément à conserver les données relatives à la carte de paiement afin d’éviter aux consommateurs d’avoir à les saisir lors d’achats effectués à distance ;
– Le service commercial permettant de faciliter les éventuels paiements ultérieurs par la conservation du numéro de la carte du client : un tel traitement va au-delà de l’exécution du contrat conclu, de sorte qu’il nécessite le recueillement au préalable du consentement libre, spécifique et éclairé des personnes ;
– La lutte contre la fraude à la carte de paiement : la conservation des données relatives à la carte de paiement au-delà de la réalisation d’une transaction outrepasse également le cadre du contrat et doit faire l’objet d’une demande d’autorisation auprès de la CNIL.
La délibération de la CNIL précise encore le type de données qui peuvent être collectées lors d’une transaction à distance par carte de paiement. Il s’agit strictement du numéro de la carte, de la date d’expiration et du cryptogramme. S’agissant de l’identité du titulaire de la carte, dès lors que cette donnée n’est pas requise pour la réalisation d’une transaction en ligne, elle ne doit pas être collectée par le système de paiement.
La durée de conservation des données relatives aux cartes bancaires est également limitée au regard de la finalité légitime poursuivie par le responsable du traitement. A ce titre, la délibération précise que la conservation du cryptogramme après la réalisation de la première transaction est interdite. S’agissant des paiements uniques, la durée de conservation des données relatives à la carte doit correspondre au délai nécessaire à la réalisation de la transaction, soit au paiement effectif du produit ou de la prestation de service commandée. En ce qui concerne les abonnements impliquant des paiements échelonnés, la conservation des données bancaires est justifiée jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction, ou jusqu’à résiliation de l’abonnement en cas de renouvellement par tacite reconduction.
La CNIL apporte une dérogation s’agissant des commerçants en ligne soumis au risque financier d’une utilisation non autorisée d’une carte de crédit dans le cas où ils n’ont pas mis en œuvre un système d’authentification de leur client. Dans une telle situation, la CNIL estime qu’ils peuvent conserver le numéro de carte et la date de validité de celle-ci dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires des cartes de paiement, soit en l’occurrence 13 mois suivant la date de débit, conformément aux prescriptions du Code monétaire et financier.
La CNIL rappelle encore l’obligation générale d’information pesant sur les responsables de traitements. Cette information devra être fournie avant toute collecte de numéro de carte bleue, sous une forme complète et claire, incluant l’identité du responsable du traitement, les finalités du traitement, le caractère obligatoire ou facultatif des informations à renseigner, les conséquences éventuelles à l’égard des personnes d’un défaut de réponse, les destinataires des données, la durée de conservation des données, l’existence et les modalités d’exercice des droits d’accès, de rectification et d’opposition au traitement des données.
Enfin, la CNIL précise à l’article 6 de sa délibération les mesures de sécurité devant être mises en place par les responsables de traitement pour éviter toute divulgation involontaire de données, notamment par des hackers, soit : une limitation du nombre d’habilitations du personnel des responsables de traitement, des moyens d’authentification renforcés du titulaire de la carte de paiement, des mesures de traçabilité spécifiques permettant de détecter a posteriori tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable,…
Conformément au Règlement européen sur la protection des données, la CNIL impose au responsable de traitement de faire respecter ces mêmes obligations auprès de ses sous-traitants et de notifier aux personnes concernées toute violation de sécurité susceptible de porter atteinte à leurs intérêts.
Cette délibération apporte donc un process précis à mettre en place pour les entreprises procédant à des paiements en ligne, ce qui est heureux au regard du caractère très général et donc difficilement applicable du règlement européen sur la protection des données, qui entrera en vigueur le 25 mai 2018.
Virginie PERDRIEUX
Vivaldi-Avocats