Actualité juridique

Paiement à distance : recommandations de la CNIL pour éviter les fraudes

Le 26/02/2014, par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

Pour les transactions à distance, la carte de paiement reste l'outil privilégié des internautes, et certaines consignes de sécurité sont à respecter.

Les premières recommandations formulées par la Commission nationale de l'informatique et des libertés (CNIL) datant de 2003, la formulation de nouvelles préconisations s'imposaient. C'est désormais chose faite. Afin de répondre concrètement aux questions posées, la Commission a consulté la Banque de France, le Groupement des cartes bancaires ainsi que les représentants des principales associations de consommateurs et des acteurs du e-commerce.

Le périmètre de la recommandation se voit élargi, de sorte que toutes les cartes de paiement, qu'elles soient interbancaires, accréditives ou privatives sont désormais soumises à une exigence de sécurité accrue. Il s'agit pour la CNIL d'anticiper les évolutions réglementaires futures dans un objectif d'une plus grande sécurité des paiements dématérialisés.

A ce titre, la Commission rappelle que la collecte du numéro de carte de paiement ne peut avoir pour finalités que :

  • la réalisation d'une transaction ;
  • la réservation d'un bien ou d'un service ;
  • la création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant ;
  • l'offre de solutions de paiement dédiées à la vente à distance par des prestataires de service de paiement ;
  • la lutte contre la fraude à la carte de paiement.

De ce fait, l'utilisation du numéro de la carte de paiement comme identifiant commercial n'est en aucun cas utile ! De plus, les données strictement nécessaires à la réalisation d'une transaction sont les suivantes :

  • le numéro de la carte ;
  • la date d'expiration et le cryptogramme visuel ;
  • d'autres données, mais seulement pour une finalité légitime, comme la lutte contre la fraude. Ainsi, un commerçant en ligne ne peut en aucun cas demander la transmission d'une copie de la carte de paiement de l'acheteur.

De plus, la Commission recommande la non conservation des données relatives à la carte de paiement sur le terminal des clients (comme le smartphone, ou l'ordinateur), du fait que ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires. Si la demande du numéro de carte bancaire est faite par téléphone, une solution alternative et sans coût supplémentaire doit être proposée au client.

Enfin, des moyens permettant de s'assurer que le titulaire de la carte est bien à l'origine du paiement effectué doivent nécessairement être mis en place.

© 2014 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

Commentaires et réactions :



-