Délibération n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017
JO du 9 octobre 2018
Ce texte porte adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.
Ces dispositions s’appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire) lors de toute vente d’un bien ou fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (Internet, téléphone, etc.).
Dans ce contexte, la Commission rappelle que les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait entraîner (utilisation pour des paiements frauduleux par exemple). En conséquence, les organismes qui mettent en œuvre un tel traitement de données de paiement peuvent être tenus, selon l’ampleur du traitement et les modalités de sa mise en œuvre, de réaliser une analyse d’impact relative à la protection des données (conformément au règlement européen sur la protection des données personnelles dit règlement RGPD).
Dans ce cadre, le texte définit :
* les finalités de ce traitement ;
* les données collectées ;
* la durée de conservation de ces données ;
* les droits des personnes ;
* les mesures de sécurité.
En ce qui concerne les mesures de sécurité, la Commission émet plusieurs recommandations. En particulier, elle recommande que les responsables de traitements utilisent exclusivement des services de paiement en ligne sécurisés et conformes à l’état de l’art et à la réglementation applicable. A ce titre, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple, le standard PCI-DSS) doivent être utilisés. Le responsable doit également s’assurer de la conformité du traitement aux exigences du RGPD, au travers notamment de la mise en œuvre d’une démarche de gestion.
Par ailleurs, lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, la Commission indique qu’il est nécessaire de mettre en place des mesures de sécurité telle que la traçabilité des accès aux numéros de la carte. Elle recommande qu’une solution alternative sécurisée, sans coût supplémentaire, soit proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.
Enfin, le texte abroge la délibération n° 2017-222 du 20 juillet 2017 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013.
Les plus lus…
Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Commandez la version papier du magazine Face au Risque pour un confort de lecture optimal. N.B. Les frais de port sont de 7,50 € TTC, quel que soit le nombre de magazines commandés.Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Cette version du magazine numérique vous est proposée en consultation de type "flipbook" (tourné de page, zoom). Chaque numéro acheté sera consultable à partir de l'onglet "Mes magazines numériques" présent dans votre compte. N.B. Un flipbook n'est pas un fichier PDF téléchargeable.En 2024, se tiendra un nombre inédit de scrutins et près de la moitié de la population mondiale sera…
La solution française de coffre-fort numérique Lockself a publié le 30 avril 2024 la première édition de son baromètre…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…
À lire également