Délibération n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017
JO du 9 octobre 2018
Ce texte porte adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.
Ces dispositions s’appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire) lors de toute vente d’un bien ou fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (Internet, téléphone, etc.).
Dans ce contexte, la Commission rappelle que les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait entraîner (utilisation pour des paiements frauduleux par exemple). En conséquence, les organismes qui mettent en œuvre un tel traitement de données de paiement peuvent être tenus, selon l’ampleur du traitement et les modalités de sa mise en œuvre, de réaliser une analyse d’impact relative à la protection des données (conformément au règlement européen sur la protection des données personnelles dit règlement RGPD).
Dans ce cadre, le texte définit :
* les finalités de ce traitement ;
* les données collectées ;
* la durée de conservation de ces données ;
* les droits des personnes ;
* les mesures de sécurité.
En ce qui concerne les mesures de sécurité, la Commission émet plusieurs recommandations. En particulier, elle recommande que les responsables de traitements utilisent exclusivement des services de paiement en ligne sécurisés et conformes à l’état de l’art et à la réglementation applicable. A ce titre, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple, le standard PCI-DSS) doivent être utilisés. Le responsable doit également s’assurer de la conformité du traitement aux exigences du RGPD, au travers notamment de la mise en œuvre d’une démarche de gestion.
Par ailleurs, lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, la Commission indique qu’il est nécessaire de mettre en place des mesures de sécurité telle que la traçabilité des accès aux numéros de la carte. Elle recommande qu’une solution alternative sécurisée, sans coût supplémentaire, soit proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.
Enfin, le texte abroge la délibération n° 2017-222 du 20 juillet 2017 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013.
Les plus lus…
Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l'Agence nationale de sécurité des systèmes…
La directive (UE) 2024/1785 du Parlement européen et du Conseil du 24 avril 2024 modifiant la directive 2010/75/UE du…
Le règlement européen sur l'intelligence artificielle, ou IA Act, a été publié au Journal officiel de l'Union européenne le…
L'Agence nationale de la sécurité des systèmes d'information (Anssi) a lancé le 15 juillet 2024 son CyberDico, un dictionnaire…
Après avoir fêté ses 20 ans d’existence, la directive « Machines » de 2006 tirera sa révérence en 2027…
Drivecase, spécialiste de la prévention routière, propose des solutions pour renforcer les actions de sensibilisation dans le cadre professionnel.…
À lire également