Conjointement avec la banque de France, la CNIL a décidé d’actualiser ses recommandations au sujet des paiements en ligne. Les dernières recommandations dataient de 2003.
Les mesures prises cherchent à assurer la confidentialité des données de carte de paiement et à lutter contre la fraude.
“La collecte du numéro de carte de paiement ne peut avoir pour finalités que :
- La réalisation d’une transaction
- La réservation d’un bien ou d’un service
- La création d’un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant
- L’offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement
- La lutte contre la fraude à la carte de paiement
L’utilisation du numéro de la carte de paiement comme identifiant commercial n’est donc pas légitime.
Les données strictement nécessaires à la réalisation d’une transaction sont :
- le numéro de la carte,
- la date d’expiration et le cryptogramme visuel
- d’autres données peuvent être demandées pour une finalité déterminée et légitime (notamment la lutte contre la fraude).
En revanche, un commerçant en ligne ne peut pas demander la transmission d’une copie de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués.”
La commission nationale de l’informatique et des libertés est une autorité française dont l’objectif est de défendre les droits des usagers.
Source: CNIL
