Pour gérer vos consentements :
Categories: Régulations

Paiement en ligne : dix ans de réflexion pour la CNIL

Pour la première fois depuis 2003, la CNIL a réactualisé ses recommandations concernant l’utilisation des cartes de paiement pour les transactions à distance.

Ces nouvelles résolutions ont été adoptées après consultation de la Banque de France, du Groupement des cartes bancaires ainsi que des représentants des principales associations de consommateurs et des acteurs du e-commerce. Elles s’inscrivent dans la continuité du dernier rapport de la Banque Centrale Européenne, qui conclut à une hausse sans précédent de la fraude au paiement en ligne sur l’année 2012.

L’accent est mis sur la confidentialité des données. Au coeur du débat, le numéro de carte, qui ne doit en aucun cas être exploité comme moyen d’identification. Dans l’absolu, il ne peut être utilisé que pour réaliser une transaction – en l’occurrence réserver ou payer un bien ou un service – ou bien créer un compte de paiement sur un site e-commerce pour faciliter les achats ultérieurs.

Dans ce cas, le cyber-marchand a la possibilité de conserver le numéro, à condition que le client lui en ait expressément donné l’autorisation, par exemple en cochant une case dédiée à cet effet. Selon la CNIL, le simple ajout d’une mention figurant dans les conditions générales d’utilisation ou de vente ne constitue pas une modalité suffisante pour le recueil du consentement des personnes.

Ces données devront par ailleurs être supprimées simplement et sans frais dès lors que le client en fera la demande. Ce dernier ne devrait, en outre, jamais avoir à renseigner d’autres éléments que le numéro de sa carte, la date d’expiration et le cryptogramme visuel. « D’autres données peuvent être demandées pour une finalité déterminée et légitime, notamment la lutte contre la fraude« , mais l’envoi d’une copie de la carte de paiement reste proscrit, y compris si certaines informations sont masquées : une telle pratique favoriserait la falsification.

Face aux risques de piratage, la CNIL invite les e-commerçants à masquer tout ou partie du numéro de carte lors de son affichage ou de son stockage, mais aussi d’assurer une traçabilité permettant de détecter tout accès ou utilisation illégitime « et de l’imputer à la personne responsable ». Autre recommandation : ne rien conserver sur les machines clientes, qu’il s’agisse d’ordinateurs, de tablettes ou de smartphones, ces terminaux n’étant pas conçus pour gérer la protection des données bancaires.

Dans l’éventualité d’une faille de sécurité pouvant entraîner la réutilisation frauduleuse de la carte, le titulaire devra être averti afinn de pouvoir « prendre les mesures appropriées », tout particulièrement la mise en opposition. Pour minimiser le risque, il appartiendra aux acteurs de la vente à distance de renforcer le processus d’identification, en implémentant des dispositifs dispositif comme 3DSecure, qui implique l’envoi d’un code par SMS.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le paiement en ligne ?

Crédit photo : Monkey Business Images – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago