Délibération n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017

JO du 9 octobre 2018

Ce texte porte adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.

Ces dispositions s’appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire) lors de toute vente d’un bien ou fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (Internet, téléphone, etc.).

Dans ce contexte, la Commission rappelle que les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait entraîner (utilisation pour des paiements frauduleux par exemple). En conséquence, les organismes qui mettent en œuvre un tel traitement de données de paiement peuvent être tenus, selon l’ampleur du traitement et les modalités de sa mise en œuvre, de réaliser une analyse d’impact relative à la protection des données (conformément au règlement européen sur la protection des données personnelles dit règlement RGPD).

Dans ce cadre, le texte définit : 

* les finalités de ce traitement ;
* les données collectées ;
* la durée de conservation de ces données ;
* les droits des personnes ;
* les mesures de sécurité.
En ce qui concerne les mesures de sécurité, la Commission émet plusieurs recommandations. En particulier, elle recommande que les responsables de traitements utilisent exclusivement des services de paiement en ligne sécurisés et conformes à l’état de l’art et à la réglementation applicable. A ce titre, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple, le standard PCI-DSS) doivent être utilisés. Le responsable doit également s’assurer de la conformité du traitement aux exigences du RGPD, au travers notamment de la mise en œuvre d’une démarche de gestion. 

Par ailleurs, lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, la Commission indique qu’il est nécessaire de mettre en place des mesures de sécurité telle que la traçabilité des accès aux numéros de la carte. Elle recommande qu’une solution alternative sécurisée, sans coût supplémentaire, soit proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.

Enfin, le texte abroge la délibération n° 2017-222 du 20 juillet 2017 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013.