J.O. 181 du 7 août 2003       J.O. disponibles       Alerte par mail       Lois,décrets       codes       AdmiNet

Texte paru au JORF/LD page 13712

Ce document peut également être consulté sur le site officiel Legifrance


Délibération n° 2003-034 du 19 juin 2003 portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance


NOR : CNIX0306749X



La Commission nationale de l'Informatique et des Libertés,

Vu la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la recommandation no R (90) 19 du Conseil de l'Europe relative à la protection des données à caractère personnel à des fins de paiement et autres opérations connexes ;

Vu la directive 95/46 /CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu l'article 9 du code civil ;

Vu l'article L. 121-16 du code de la consommation ;

Vu les articles 225-1 à 225-3, 226-1 et 226-16 à 226-24 du code pénal ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pris ensemble le décret d'application du 17 juillet 1978 ;

Après avoir entendu M. Philippe Nogrix, commissaire, en son rapport et Mme Catherine Pozzo di Borgo, commissaire du Gouvernement adjoint, en ses observations :

La présente recommandation concerne le stockage et l'utilisation du numéro de carte bancaire collecté par un professionnel à l'occasion de la vente d'un bien ou la fourniture d'une prestation de service conclue, sans la présence physique simultanée des parties, entre lui-même et un consommateur qui, pour la conclusion de ce contrat, utilisent une ou plusieurs techniques de communication à distance.

Par numéro de carte bancaire, il faut entendre le numéro et la date de validité figurant sur le recto des cartes de paiement « CB » émises par les banques utilisables chez les commerçants et prestataires de services affiliés au réseau « CB ». La présente recommandation ne s'applique donc ni aux cartes dites privatives, c'est-à-dire aux cartes émises par les établissements financiers spécialisés dans le crédit à la consommation ou encore directement par des commerçants, ni aux cartes dites accréditives.

La présente recommandation a pour objet, en l'état du droit et des procédés actuels de paiement, notamment sur internet, de préciser les garanties minimales à respecter lors de la mise en oeuvre, par les professionnels, de traitements afférents au numéro de carte bancaire.



Sur la finalité liée à la collecte et l'utilisation

du numéro de carte bancaire et sur l'information des personnes


La commission rappelle que :

- la collecte et la conservation du numéro de carte bancaire dans un traitement automatisé d'informations nominatives doit s'effectuer dans le respect des dispositions de l'article 5 de la convention no 108 du Conseil de l'Europe, c'est-à-dire dans le respect de finalités déterminées et légitimes ;

- le traitement automatisé du numéro de carte bancaire doit faire l'objet d'une déclaration à la CNIL décrivant avec précision la finalité poursuivie, dans les conditions prévues à l'article 16 de la loi du 6 janvier 1978. Le manquement à cette obligation est constitutif d'une infraction pénale (art. 226-17 du code pénal) ;

- la finalité première de l'utilisation d'un numéro de carte bancaire est la réalisation d'une transaction, qu'elle soit ponctuelle ou à exécutions successives, c'est-à-dire le complet paiement d'un prix en contrepartie de la délivrance d'un bien ou la prestation d'un service.

La commission relève néanmoins que, loin de rester un simple instrument de paiement, le numéro de carte bancaire est parfois devenu un véritable identifiant, utilisé à des fins commerciales au-delà de la réalisation d'une transaction donnée (« portefeuille électronique », authentification d'un client, réservation par téléphone, etc.) ou de lutte contre la fraude au paiement.

Nonobstant la légitimité ou l'intérêt que ces pratiques nouvelles peuvent parfois revêtir, la Commission constate que les personnes ne sont pas ou peu informées sur l'existence de ces pratiques et qu'elles leur sont la plupart du temps imposées.

La commission recommande en conséquence que l'utilisation du numéro de carte bancaire à des fins d'identification commerciale soit subordonnée, lorsque ce numéro est conservé au-delà du temps nécessaire à la réalisation de la transaction, au recueil du consentement de la personne concernée. Elle rappelle que, conformément aux termes de la directive 95/46 du 24 octobre 1995, le consentement est toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que les données la concernant fassent l'objet d'un traitement.

La commission constate par ailleurs que la spécificité du paiement par carte bancaire dans la vente à distance fait peser le risque financier sur le commerçant en cas d'utilisation frauduleuse du numéro de carte.

La commission considère en conséquence que l'utilisation du numéro de carte bancaire par un professionnel de la vente à distance dans un fichier ayant pour finalité de lutter contre la fraude au paiement en conservant la trace d'agissements lui ayant apporté préjudice est légitime, sous la réserve que ce fichier ait fait l'objet d'une déclaration spécifique é la commission et soit conforme aux lois et ràglements en vigueur, en particulier aux dispositions relatives à l'informatique et aux libertés, et que cette utilisation du numéro de carte bancaire soit subordonnée à une information claire des personnes fichées ainsi qu'é la possibilité pour ces personnes de s'opposer, pour des motifs légitimes, à un tel traitement.

La CNIL rappelle qu'en application de l'article 2 de la loi du 6 janvier 1978, aucune décision privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé.

De plus, l'utilisation du numéro de carte bancaire à des fins de lutte contre la fraude au paiement ne saurait aboutir à une discrimination ou un refus de vente, même si elle peut conduire légitimement le commerçant à refuser ce mode de paiement.

S'agissant de l'information des personnes, la CNIL rappelle aussi que :

- en application de l'article 27 de la loi du 6 janvier 1978, les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées du caractère obligatoire ou facultatif des réponses ; des conséquences à leur égard d'un défaut de réponse ; des personnes physiques ou morales destinataires des informations ; de l'existence d'un droit d'accès et de rectification. Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions ;

- il résulte en outre de l'article 10 de la directive 95-46 du 24 octobre 1995 que les personnes fichées doivent également être informées de l'identité du responsable du traitement ainsi que les finalités du traitement auquel les données sont destinées ;

- il résulte de l'article 26 de la loi du 6 janvier 1978 que toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement. Ce droit d'opposition, en particulier sur internet, devrait pouvoir s'exercer facilement, par exemple au moyen d'une case à cocher ;

- l'article 25 de la loi du 6 janvier 1978 dispose que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.

La commission souligne en conséquence que toute utilisation du numéro de carte bancaire, quelle qu'en soit la finalité, doit faire l'objet d'une information complète et claire auprès de la personne fichée.


Sur la sécurité des traitements


La commission observe que les pratiques liées à la collecte du numéro de carte bancaire entraînent la multiplication de bases de données pouvant faire l'objet d'une réutilisation frauduleuse, en particulier lorsque ces bases de données sont accessibles sur internet.

La commission considère en conséquence que les commerçants devraient s'efforcer d'élaborer et d'adopter des pratiques exemplaires et de promouvoir des comportements qui tiennent compte des impératifs de sécurité et respectent les intérêts légitimes des individus.

A cet égard, la commission rappelle que :

- en application de l'article 17 de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ;

- ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. Le non-respect de l'obligation de sécurité est sanctionné par l'article 226-17 du code pénal ;

- s'agissant de l'appel à des prestataires de services, le responsable du traitement doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et doit veiller au respect de ces mesures. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sur la seule instruction du responsable du traitement et que les obligations en matière de sécurité, telles que définies par la législation de l'Etat membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

La commission considère en conséquence que les responsables de traitements devraient prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés.

La commission relève par ailleurs que le développement de solutions de paiement sécurisées par carte à puce permettrait de garantir un niveau de sécurité optimal tout en limitant la constitution de bases de données de numéros de cartes bancaires, en particulier à des fins de contrôle.

Ceci étant rappelé, elle recommande que :

- les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l'état de l'art et à la réglementation applicable ;

- les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients ;

- s'agissant des mesures organisationnelles propres aux responsables de traitements, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s'assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l'écran des salariés habilités (seuls les cinq derniers chiffres restent apparents). Le personnel devrait être sensibilisé aux risques de fraudes existant en la matière ;

- dès lors que le numéro de carte bancaire est enregistré dans une base de données, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée ;

- les responsables de traitements portent une attention particulière aux risques qu'il y aurait à mémoriser le numéro de carte bancaire dans l'ordinateur personnel du client, en particulier par l'intermédiaire de cookies ou fichiers log. Dans une telle situation, et conformément aux dispositions prévues par la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, les individus doivent être informés de la mise en oeuvre de dispositifs techniques sur leur ordinateur et doivent disposer de la possibilité de s'opposer à la mise en oeuvre de tels dispositifs. L'exercice du droit d'opposition devrait pouvoir couvrir les utilisations futures qui pourraient être faites de ces dispositifs durant des connexions ultérieures ;

- s'agissant de la mise en place de systèmes d'authentification en ligne, permettant d'accéder directement à un profil client et à des coordonnées bancaires (« portefeuille électronique »), les commerçants informent clairement leurs clients sur les risques induits par certains gestionnaires de mots de passe intégrés à des navigateurs internet et leur précisent la méthode permettant de désactiver ces systèmes.


Sur la durée de conservation


La commission rappelle que :

- la conservation du numéro de carte bancaire dans un traitement automatisé d'informations nominatives doit s'effectuer dans le respect des dispositions posées par l'article 5, e, de la convention no 108 du Conseil de l'Europe, c'est-à-dire pour une durée n'excédant pas celle nécessaire aux finalités pour lesquelles l'information est exigée. Cette durée doit faire l'objet d'une déclaration à la commission. Le fait de conserver cette information au-delà de la durée prévue dans la déclaration est constitutif d'une infraction pénale (art. 226-20 du code pénal) ;

- toute conservation du numéro de carte bancaire d'un client suppose que des mises à jour régulières soient effectuées afin de supprimer les numéros de cartes bancaires périmés.

La commission relève qu'aucun texte de portée générale relatif à la conservation de documents comptables à des fins probatoires ne fait obligation aux responsables de traitements de conserver le numéro de carte bancaire de leurs clients.

La commission considère en conséquence que la durée de conservation d'un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de lutte contre la fraude au paiement du traitement mis en oeuvre conformément aux lois et règlement en vigueur.

Sur ce point, la commission souligne que chaque déclaration fait l'objet d'un examen spécifique et que le projet de loi modifiant la loi du 6 janvier 1978 (transposition de la directive du 24 octobre 1995) prévoit, en l'état de son examen par le Parlement, que seront soumis à l'autorisation de la CNIL « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure les personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire les y habilitant ».


Sur le choix du mode de paiement électronique


La commission relève que l'utilisation de traitements automatisés de données dans le secteur des moyens de paiement peut entraîner des risques pour la vie privée des individus, s'agissant en particulier de certains modes de paiement électronique, au regard de la quantité de données à caractère personnel qu'ils peuvent révéler du fait de leur utilisation.

La commission estime en conséquence que les responsables de traitements devraient promouvoir, pour le commerce électronique, l'utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l'anonymat des paiements réalisés par leurs clients.

Fait à Paris, le 19 juin 2003.



Pour la Commission nationale

de l'informatique et des libertés :

Le président,

M. Gentot