La CNIL fait le
point sur la conservation des numéros de cartes bancaires Par le Journal du Net (Benchmark Group) URL : http://www.journaldunet.com/0307/030715cnilcb.shtml Lancer l'impression Mardi 15 juillet 2003
Parallèlement aux travaux engagés par le GIE Cartes Bancaires pour sécuriser les paiements en ligne, la Commission Nationale Informatique et Liberté (CNIL) a adopté une recommandation relative à la conservation du numéro de carte bancaire dans le secteur de la vente à distance.
Cette nouvelle recommandation de la Commission n'a pas valeur d'obligation. Son objectif est plutôt de rappeler le contenu des lois et de préciser les garanties minimales que les professionnels de la vente à distance doivent respecter lors du recueil et du stockage du numéro de carte bancaire. La CNIL rappelle que la finalité première de la collecte et la conservation du numéro de carte bancaire est la réalisation d'une transaction. Dans ce cadre, la conservation du numéros de carte bancaire ne doit pas excéder celle nécessaire à la réalisation complète de la transaction, les ruptures de stock étant prises en compte dans le calcul de ce délai. La CNIL constate malgré tout que les numéros de cartes bancaires sont également conservés et utilisés par les VADistes comme un outil d'authentification à des fins commerciales (création d'un profil pour l'achat en un clic, réservation par téléphone) ou de lutte contre la fraude. Dans le premier cas, la CNIL recommande que la conservation du numéro de carte bancaire soit subordonnée au recueil du consentement de l'internaute, sans toutefois mentionner les modalités de collecte de cette information. "Cette procédure a déjà été mise en place par quelques sites, comme Lastminute.com, et s'effectue simplement en cochant un case", indique Guillaume Desgens. Les internautes doivent pouvoir avoir accès, à tout moment, à leur profil et supprimer, s'ils le souhaitent, leurs coordonnées bancaires. La CNIL estime également qu'il est légitime pour les marchands de conserver le numéro de carte bancaire dans le cadre de la lutte contre la fraude. Mais cette procédure doit respecter certaines règles. La première d'entre elles est la déclaration de ce fichier à la Commission. Si aujourd'hui, la CNIL ne peut refuser son autorisation à la mise en place d'un tel fichier, il en ira certainement autrement début 2004. Le projet de loi modifiant la Loi Informatique et Liberté devrait en effet autoriser la Commission à étudier chaque demande de création de fichier et à statuer au cas par cas. En attendant, la CNIL recommande que l'utilisation des numéros de cartes bancaires pour lutter contre la fraude soit subordonnée à une information claire auprès des personnes fichées. Ces dernières doivent avoir la possibilité de s'opposer à ce stockage. La conservation du numéro de carte bancaire comportant un risque en terme de sécurité, la Commission encourage les marchands au cryptage des données. Par ailleurs, dans la perspective de l'obligation faite aux e-commerçants de collecter à partir du 1er janvier prochain le cryptogramme visuel des cartes bancaires, la CNIL recommande aux marchands de ne pas mémoriser de nouveau numéro. La Commission rappelle que l'obligation de payer par carte bancaire sur certain site peut être considéré comme une clause abusive. En tant que telle, les e-commerçants doivent promouvoir l'utilisation de moyens de paiement alternatifs sécurisés, garantissant l'anonymat des paiements.
Autant de recommandations dont l'objectif ultime est, tout comme le plan du GIE Carte Bancaire, de renforcer la confiance des internautes dans le commerce en ligne. Un objectif également poursuivi par l'Observatoire de la sécurité des cartes de paiement institué en octobre dernier et dont la gestion a été confié à la Banque de France. Prévu par la loi du 15 novembre 2001 sur la sécurité quotidienne, l'Observatoire a pour tâche d'assurer le suivi des mesures de sécurisation mises en oeuvre et d'entreprendre une veille technologique pour lutter contre la fraude.
[Anne-Laure Béranger, JDNet] |
|