La CNIL renforce ses recommandations sur le paiement à distance
Responsabilisation des commerçants et extension à toutes les cartes de paiement
Après consultation des autorités de place, la CNIL a renforcé ses recommandations sur la préservation des données liées au paiement à distance par carte, datant de 2003. Sont visées toutes les cartes de paiement, interbancaires, accréditives ou privatives. La collecte du PAN* ne peut se faire que pour :
conduire une transaction,
réserver un bien ou un service,
créer un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant,
offrir des solutions de paiement dédiées à la vente à distance par des établissements financiers PSP*,
lutter contre la fraude.
Utiliser le PAN comme identifiant commercial n'est donc pas légitime, pas plus que le scan de la carte, même partiellement masqué. La conservation des données carte suppose le consentement préalable et explicite du porteur, sans case non pré-cochée par défaut. L'acceptation des conditions générales n'est pas suffisante. L'e-commerçant doit en outre proposer un moyen simple de retirer, sans frais, ce consentement.
En outre, les données stockées doivent être sécurisées par « masquage », remplacement par un token et/ou la traçabilité de tout accès ou utilisation illégitime des données vers le responsable. Elles ne doivent pas rester sur les terminaux des clients, surtout les mobiles dont la sécurité n'est pas adaptée. Lors d'un paiement vocal par téléphone, une solution alternative sécurisée, sans coût supplémentaire, devrait être proposée.
Enfin, la CNIL recommande que le porteur soit notifié des failles conduisant à la compromission de ses données, afin de contester les paiements frauduleux, de mettre sa carte en opposition, etc. Elle préconise enfin l'authentification renforcée du titulaire permettant de s'assurer qu'il est bien à l'origine du paiement à distance. Les acteurs devraient intégrer la protection des données dès la conception des produits (« privacy by design »).
Notre Analyse : Difficile équilibre entre protection et simplicité du parcours client
Cette recommandation coïncide avec l'essor, commun à tous les pays d'Europe, de la fraude sur les paiements à distance. Formant 60 % du total de la fraude par carte, elle se poursuit à un rythme de plus en plus élevé, comme le confirme la BCE*, soit + 21 % entre 2012 et 2011.
Toutefois, ces mesures auront un double coût pour le consommateur. Ne pouvant être facturées en tant que telles, elles contribueront à élever le prix général de vente. Surtout, leur formalisme accru, certes protecteur, va à l'encontre de la simplicité et du multicanal vers lequel évoluent les modèles d'offre sur les supports connectés.