Délibération n° 2018-303 du 6 septembre 2018 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0233 du 9 octobre 2018 |
| Record Number | JORFTEXT000037477764 |
| Date de publication | 09 octobre 2018 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 06 septembre 2018 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données - RGPD) ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu le code civil ;
Vu le code de la consommation ;
Vu le code monétaire et financier ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération de la Commission nationale de l'informatique et des libertés n° 2005-213 du 11 octobre 2005 portant adoption d'une recommandation concernant les modalités d'archivage électronique, dans le secteur privé, de données à caractère personnel ;
Vu les lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d'engendrer un risque élevé » aux fins du règlement (UE) 2016/679 adoptée le 4 octobre 2017 par le groupe de travail « de l'article 29 » sur la protection des données ;
Vu la recommandation n° R (90) 19 du Conseil de l'Europe relative à la protection des données à caractère personnel à des fins de paiement et autres opérations connexes ;
Vu les recommandations de la Banque centrale européenne pour la sécurité des paiements par internet publiées le 31 janvier 2013 ;
Après avoir entendu M. François PELLEGRINI, Commissaire, en son rapport, et Mme Nacima BELKACEM, Commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance.
Dix ans après l'adoption de cette recommandation, la Commission a adopté une nouvelle délibération visant à l'actualiser et à proposer des préconisations concrètes à l'utilisation du numéro de carte bancaire par les professionnels de la vente à distance dans un traitement automatisé.
Elle estime aujourd'hui nécessaire d'actualiser sa recommandation au regard de l'évolution des pratiques du commerce en ligne, ainsi que de celle du cadre légal et technologique.
Les dispositions de la présente recommandation, qui abroge celle de 2017, s'appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire), ci-après « la carte », lors de toute vente d'un bien ou fourniture d'une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (Internet, téléphone, etc.).
Les cartes de paiement visées sont celles qui permettent notamment d'effectuer des achats chez un commerçant ou un prestataire de services affiliés à un réseau de paiement national ou international (système CB, Visa, MasterCard, etc.) mais aussi les cartes de paiement dites privatives (cartes émises par les commerçants ou par les établissements financiers spécialisés dans le crédit à la consommation) et accréditives (carte présentée par un adhérent à un fournisseur affilié au réseau de l'émetteur de la carte).
La Commission précise que l'article 35 du RGPD prévoit la conduite d'une analyse d'impact relative à la protection des données (AIPD), lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, compte tenu notamment de la nature des données traitées. A cet égard, la Commission rappelle que les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).
La Commission rappelle aux organismes qui mettraient en œuvre un tel traitement de données de paiement qu'ils sont susceptibles d'être tenus, selon l'ampleur du traitement et les modalités de sa mise en œuvre, de réaliser une AIPD.
Finalités du traitement.
La protection des données personnelles, et par là même de la vie privée, implique la capacité de l'individu à maîtriser la collecte, l'enregistrement et l'utilisation des données à caractère personnel qu'il est tenu de communiquer dans le cadre d'un paiement.
La finalité première de l'utilisation d'un numéro de carte de paiement est de permettre la réalisation d'une transaction visant à la délivrance d'un bien ou la prestation d'un service en contrepartie du paiement complet d'un prix.
La collecte des données relatives à une carte de paiement peut toutefois remplir d'autres finalités, liées à la particularité des opérations à distance :
- la réservation d'un bien ou d'un service ;
- le règlement d'abonnements souscrits en ligne impliquant des paiements définis et réguliers ;
- la simplification des éventuels achats ultérieurs sur le site du commerçant ;
- l'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement (cartes virtuelles, porte-cartes numériques dits « wallets », comptes rechargeables, etc.). Ces solutions visent à éviter aux consommateurs de saisir les données relatives à leur carte lors d'achats effectués à distance ;
- la lutte contre la fraude.
La Commission considère que ces finalités sont déterminées, explicites et légitimes.
Elle rappelle que les données collectées et traitées aux fins de règlement de paiements multiples et réguliers dans le cadre d'abonnements ne peuvent être ultérieurement utilisées pour une autre finalité telle que, par exemple, faciliter des paiements ponctuels ultérieurs, et inversement.
En outre, compte tenu de la sensibilité de cette donnée, le numéro de la carte de paiement ne...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI