Vente en ligne – quelles précautions pour les données relatives aux cartes bancaires ?

Lorsqu’une personne achète un vêtement en ligne, elle renseigne son numéro de carte de banque sur le site afin de finaliser son achat. Les données de paiement sont donc d’abord collectées pour réaliser une transaction financière.

En plus de cette finalité principale, le traitement peut parfois se justifier pour simplifier d’éventuels nouveaux achats sur le site visité, pour lutter contre la fraude ou encore dans le cadre d’un abonnement. Dans cette dernière hypothèse toutefois, les données collectées afin de permettre l’exécution d’un abonnement ne peuvent servir plus tard à faciliter des paiements isolés et inversement.

La collecte d’un numéro de carte de banque se justifie par le contrat d’achat ou la convention d’abonnement qui sous-tend la/les transaction(s) bancaire(s). Dans cette hypothèse, le fondement sera donc l’exécution du contrat.

Cependant, dans d’autres cas de figure, le consentement de la personne concernée pourrait être nécessaire ou le commerçant pourrait invoquer son l’intérêt légitime.

Prenons un exemple : l’achat d’un vêtement sur un site en ligne. Imaginons que le site e-commerce permette de conserver le numéro de carte de banque du consommateur afin de faciliter ses prochains achats éventuels. Selon la CNIL, cette conservation dépasse ce qui est nécessaire à l’exécution du contrat initial de vente. Dès lors, il faudra avoir obtenu au préalable le consentement du client. 

Si, par contre, le consommateur a souscrit un abonnement qui lui donne droit à des services supplémentaires, par exemple un service de livraison express, le fondement sera différent. En effet, dans ce cadre, le responsable de traitement peut invoquer son intérêt légitime si l’on peut présumer, de cette souscription délibérée, l’intention du consommateur de s’inscrire dans une relation commerciale régulière. Par contre, la simple inscription à un programme de fidélité, en contrepartie d'avantages, n’est pas suffisante.

De la même manière, l’intérêt légitime du commerçant justifie que les données bancaires soient conservées au-delà de ce qui est nécessaire à la réalisation d’une transaction financière lorsque cette conservation vise à lutter contre la fraude.

Pour faire simple, retenons le principe suivant : seules les données nécessaires à la finalité poursuivie peuvent être collectées.

Dès lors, seuls le numéro de la carte, sa date d’expiration et son cryptogramme visuel peuvent être collectés. La photocopie de la carte de paiement ne peut jamais être exigée.

L’identité du titulaire n’étant pas requise pour réaliser une transaction financière, elle ne peut en principe pas être exigée. Ce n’est que si le marchand met en place des dispositifs de lutte contre la fraude, il pourra traiter cette donnée.

Les données bancaires peuvent être conservées le temps nécessaire à la transaction commerciale. Dans le cadre d’un contrat de fourniture de biens/de prestation de services à distance, il faut toutefois tenir compte de la durée du délai de rétractation prévu en faveur du consommateur.

Quant à l’hypothèse d’un abonnement, les données peuvent être conservées jusqu’à la dernière échéance de paiement ou, dans l’hypothèse d’un abonnement à reconduction tacite, jusqu’à sa résiliation.

Enfin, pour la gestion des éventuelles réclamations des titulaires de cartes de paiement, il est justifié de conserver les données pendant 15 mois à dater de la date de débit.

Par contre, peu importe que l’on se situe dans l’une ou l’autre de ces hypothèses, le cryptogramme de la carte ne peut jamais être conservé au-delà de la durée nécessaire à la transaction financière.

Les commerçants en ligne ne doivent faire appel qu’à des services de paiement sécurisés et conformes à l'état de l'art (par exemple, le standard PCI-DSS) et à la réglementation applicable.

Ils doivent sensibiliser leur personnel, ne donner accès au numéro de la carte de paiement des clients que lorsque cela est rigoureusement nécessaire et assurer la traçabilité des accès aux données bancaires. Ils doivent mettre en œuvre un masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage ou encore remplacer le numéro de carte par un numéro non signifiant.

Enfin, vu la nature des données traitées, qualifiées par la CNIL et par l’Autorité belge de protection des données de « données à caractère hautement personnel », le commerçant est plus souvent tenu de réaliser une analyse d’impact. En effet, le vol, la perte ou la divulgation de données de paiement sont des évènements susceptibles d’engendrer un risque élevé pour les consommateurs, notamment parce que leurs informations pourraient être utilisées pour effectuer des paiements frauduleux. 

Le commerçant peut faire appel à des prestataires de services de type Paypal, FidMe, Flex Prepaid Card, qui interviennent en tant que sous-traitants. 

Les commerçants doivent toutefois être attentifs s’ils transfèrent les données à un prestataire hors de l’Union européenne. Si c’est le cas, il faut que des clauses types figurent dans le contrat les liant au prestataire, ou que celui-ci ait adhéré au Privacy Shield, s’il est situé aux U.S.A.

Le commerçant en ligne doit, au même titre que tout autre responsable de traitement, communiquer clairement les modalités du traitement aux consommateurs.

Par ailleurs, lorsque le traitement est fondé sur le consentement de la personne concernée, il faut naturellement recueillir son consentement et l’informer que ce consentement peut être retiré à tout moment.

Enfin, si le marchand invoque son intérêt légitime il doit non seulement permettre au consommateur de s’opposer sans frais aux traitements opérés, par exemple via une case à cocher, mais aussi attirer son attention sur cette possibilité.