Délibération n° 2013-358 du 14 novembre 2013 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2003-034 du 19 juin 2003
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0283 du 6 décembre 2013 |
| Record Number | JORFTEXT000028275157 |
| Date de publication | 06 décembre 2013 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 14 novembre 2013 |
La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu le code civil ;
Vu le code de la consommation ;
Vu le code monétaire et financier ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée ;
Vu la délibération n° 2005-213 du 11 octobre 2005 de la Commission nationale de l'informatique et des libertésportant adoption d'une recommandation concernant les modalités d'archivage électronique, dans le secteur privé, de données à caractère personnel ;
Vu la délibération n° 2012-209 du 21 juin 2012 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects ;
Vu la recommandation n° R (90) 19 du Conseil de l'Europe relative à la protection des données à caractère personnel à des fins de paiement et autres opérations connexes ;
Vu les recommandations de la Banque centrale européenne pour la sécurité des paiements par internet publiées le 31 janvier 2013 ;
Après avoir entendu M. Bernard PEYRAT, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La commission a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au « stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance ».
Dix ans après l'adoption de cette recommandation, l'utilisation de la carte pour les paiements à distance suscite toujours autant d'inquiétudes de la part des consommateurs. En effet, la carte de paiement reste le moyen privilégié pour les transactions en ligne malgré le développement de solutions alternatives de paiement. La sécurité et la confidentialité des données relatives à la carte sont dès lors des éléments clés pour garantir la confiance dans le commerce électronique.
Les plaintes reçues par la commission ainsi que les différents contrôles menés ces dernières années ont mis en lumière la nécessité d'actualiser ses recommandations afin d'apporter des réponses concrètes aux différentes parties prenantes et de prendre en compte l'évolution du cadre légal et technologique.
Dans la perspective de la modification de la recommandation de 2003, la commission a consulté les principaux organismes concernés parmi lesquels la Banque de France, le Groupement des cartes bancaires ainsi que les représentants des principales associations de consommateurs et des acteurs du e-commerce et de la vente à distance.
Les dispositions de la présente recommandation, qui abroge celle de 2003, s'appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire), ci-après « la carte », lors de toute vente d'un bien ou fourniture d'une prestation de services conclue, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (internet, téléphone, etc.).
Les cartes de paiement visées sont celles qui permettent notamment d'effectuer des achats chez un commerçant ou un prestataire de services affiliés à un réseau de paiement national ou international (système « CB », Visa, Mastercard, etc.) mais aussi les cartes de paiement dites « privatives » (cartes émises par les commerçants ou par les établissements financiers spécialisés dans le crédit à la consommation) et accréditives (carte présentée par un adhérent à un fournisseur affilié au réseau de l'émetteur de la carte).
La présente délibération a pour objet, en l'état du droit et des procédés actuels de paiement, de préciser les recommandations de la commission et les garanties minimales à respecter lors de la...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI