Paiement en ligne : dix ans de réflexion pour la CNIL

Pour la première fois depuis 2003, la CNIL a réactualisé ses recommandations concernant l’utilisation des cartes de paiement pour les transactions à distance.

Ces nouvelles résolutions ont été adoptées après consultation de la Banque de France, du Groupement des cartes bancaires ainsi que des représentants des principales associations de consommateurs et des acteurs du e-commerce. Elles s’inscrivent dans la continuité du dernier rapport de la Banque Centrale Européenne, qui conclut à une hausse sans précédent de la fraude au paiement en ligne sur l’année 2012.

L’accent est mis sur la confidentialité des données. Au coeur du débat, le numéro de carte, qui ne doit en aucun cas être exploité comme moyen d’identification. Dans l’absolu, il ne peut être utilisé que pour réaliser une transaction – en l’occurrence réserver ou payer un bien ou un service – ou bien créer un compte de paiement sur un site e-commerce pour faciliter les achats ultérieurs.

Dans ce cas, le cyber-marchand a la possibilité de conserver le numéro, à condition que le client lui en ait expressément donné l’autorisation, par exemple en cochant une case dédiée à cet effet. Selon la CNIL, le simple ajout d’une mention figurant dans les conditions générales d’utilisation ou de vente ne constitue pas une modalité suffisante pour le recueil du consentement des personnes.

Ces données devront par ailleurs être supprimées simplement et sans frais dès lors que le client en fera la demande. Ce dernier ne devrait, en outre, jamais avoir à renseigner d’autres éléments que le numéro de sa carte, la date d’expiration et le cryptogramme visuel. « D’autres données peuvent être demandées pour une finalité déterminée et légitime, notamment la lutte contre la fraude« , mais l’envoi d’une copie de la carte de paiement reste proscrit, y compris si certaines informations sont masquées : une telle pratique favoriserait la falsification.

Face aux risques de piratage, la CNIL invite les e-commerçants à masquer tout ou partie du numéro de carte lors de son affichage ou de son stockage, mais aussi d’assurer une traçabilité permettant de détecter tout accès ou utilisation illégitime « et de l’imputer à la personne responsable ». Autre recommandation : ne rien conserver sur les machines clientes, qu’il s’agisse d’ordinateurs, de tablettes ou de smartphones, ces terminaux n’étant pas conçus pour gérer la protection des données bancaires.

Dans l’éventualité d’une faille de sécurité pouvant entraîner la réutilisation frauduleuse de la carte, le titulaire devra être averti afinn de pouvoir « prendre les mesures appropriées », tout particulièrement la mise en opposition. Pour minimiser le risque, il appartiendra aux acteurs de la vente à distance de renforcer le processus d’identification, en implémentant des dispositifs dispositif comme 3DSecure, qui implique l’envoi d’un code par SMS.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le paiement en ligne ?

Crédit photo : Monkey Business Images – Shutterstock.com