Collecter des données bancaire

Quelles données sont nécessaires à la réalisation d’un paiement en ligne ? 

Pour la vente de biens ou la fourniture de services à distance, les données strictement nécessaires à la réalisation d'un paiement sont par défaut :

• le numéro de la carte ;
• la date d'expiration ;
• le cryptogramme visuel.

Il ne faut pas collecter l’identité du titulaire de la carte si elle n’est pas nécessaire à la transaction.

Combien de temps les données bancaires peuvent-elles être conservées?

La conservation du cryptogramme visuel est interdite après la réalisation de la première transaction.

La durée de conservation des données de la carte bancaire dépend des finalités poursuivies : 

• Pour un paiement unique, la conservation des données de paiement est valable : 
  • jusqu’au paiement complet.    
  • jusqu’à la réception du bien ou à l’exécution de la prestation de service, augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance.
• Pour un abonnement avec tacite reconduction, les données sont conservées jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction ; 
• Pour la gestion des réclamations, les données sont conservées 3 mois, suivant la date de débit ou 15 mois en cas de cartes de paiement à débit différé. Les données ainsi conservées doivent n’être utilisées qu’en cas de contestation de la transaction. 
• Pour faciliter les achats ultérieurs, les données sont conservées jusqu’au retraite du consentement et/ou à l’expiration de la validité des données de la carte bancaire.

Cas particulier : La souscription d’abonnements complémentaire (dits "premium", "à volonté"), témoigne de la volonté du consommateur de réitérer ces achat sur le site internet du commerçant.

Pour cela, ce dernier peut conserver par défaut les données bancaires saisies par les clients adhérents à ces abonnements complémentaires, sous réserve :

• de fournir une information suffisamment complète directement et de manière distincte sur le support de collecte ;
• de permettre d’exercer facilement leur droit d’opposition par le biais d’une case à cocher présente sur le support de collecte et ce, sans conséquence sur l’accès au service ;
• de permettre facilement et à tout moment, sur le site marchand, la suppression de leurs données bancaires ;
• de tenir compte du refus exprimé par le client s’agissant de la conservation de la carte bancaire et de ne lui proposer par la suite une telle conservation qu’avec son consentement libre, éclairé et spécifique ;
• de mettre en œuvre de mesures de sécurité appropriées.

Quelles sont les garanties pour le consommateur en cas de conservation de leurs données bancaires pour faciliter leurs achats ultérieurs ? 

Dans ce cas précis, les commerçants doivent recueillir le consentement de leurs clients à la conservation de leurs données bancaires. 

Ce consentement ne se présume pas et doit être non univoque. 

Le commerçant doit intégrer directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.

Il doit par ailleurs les informer de l’objectif poursuivi. 

Quelles sont les principales mesures de sécurités préconisées par la CNIL ?

La CNIL recommande la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement :

• le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage ;
• le remplacement du numéro de carte par un numéro non signifiant ;
• la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable. 
• La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit "fort". 

La CNIL contrôle régulièrement des sites marchands en ligne pour s’assurer du respect du RGPD.