Délibération n° 2017-222 du 20 juillet 2017 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0209 du 7 septembre 2017 |
| Record Number | JORFTEXT000035519830 |
| Date de publication | 07 septembre 2017 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 20 juillet 2017 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu le code civil ;
Vu le code de la consommation ;
Vu le code monétaire et financier ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2012-209 du 21 juin 2012 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects ;
Vu la délibération de la Commission nationale de l'informatique et des libertés n° 2005-213 du 11 octobre 2005 portant adoption d'une recommandation concernant les modalités d'archivage électronique, dans le secteur privé, de données à caractère personnel ;
Vu la recommandation n° R (90) 19 du Conseil de l'Europe relative à la protection des données à caractère personnel à des fins de paiement et autres opérations connexes ;
Vu les recommandations de la Banque centrale européenne pour la sécurité des paiements par internet publiées le 31 janvier 2013 ;
Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La commission a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance.
Dix ans après l'adoption de cette recommandation, la commission a adopté une nouvelle délibération visant à l'actualiser et à proposer des préconisations concrètes à l'utilisation du numéro de carte bancaire par les professionnels de la vente à distance dans un traitement automatisé.
Les plaintes reçues par la commission, ainsi que les différents contrôles menés ces dernières années, ont mis en lumière la nécessité d'actualiser de nouveau ses recommandations afin d'apporter des réponses concrètes aux différentes parties prenantes et de prendre en compte l'évolution du cadre légal et technologique.
Les dispositions de la présente recommandation, qui abroge celle de 2013, s'appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire), ci-après « la carte », lors de toute vente d'un bien ou fourniture d'une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (internet, téléphone, etc.).
Les cartes de paiement visées sont celles qui permettent notamment d'effectuer des achats chez un commerçant ou un prestataire de services affiliés à un réseau de paiement national ou international (système CB, Visa, MasterCard, etc.) mais aussi les cartes de paiement dites privatives (cartes émises par les commerçants ou par les établissements financiers spécialisés dans le crédit à la consommation) et accréditives (carte présentée par un adhérent à un fournisseur affilié au réseau de l'émetteur de la carte).
La présente délibération a pour objet, en l'état du droit et des procédés actuels de paiement, de préciser les recommandations de la commission et les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents à des données relatives à la carte de paiement.
Finalités du traitement.
La protection des données personnelles, et par là même de la vie privée, implique la capacité de l'individu à maîtriser la collecte, l'enregistrement et l'utilisation des données à caractère personnel qu'il est tenu de communiquer dans le cadre d'un paiement.
La finalité première de l'utilisation d'un numéro de carte de paiement est de permettre la réalisation d'une transaction visant à la délivrance d'un bien ou la prestation d'un service en contrepartie du complet paiement d'un prix.
La collecte des données relatives à une carte de paiement remplit toutefois d'autres finalités, liées à la particularité des opérations à distance :
- la réservation d'un bien ou d'un service ;
- le règlement d'abonnements souscrits en ligne impliquant des paiements définis et réguliers ;
- la conservation du numéro de la carte du client afin de faciliter ses éventuels achats ultérieurs sur le site du commerçant ;
- l'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement (cartes virtuelles, porte-cartes numériques - « wallets », comptes rechargeables, etc.). Ces solutions visent à éviter aux consommateurs de saisir les données relatives à leur carte lors d'achats...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI