Obtention, stockage et utilisation du numéro de carte bancaire et d’autres informations
Pour toutes les cartes :
Le professionnel doit recueillir les informations directement auprès du consommateur concerné après l’avoir informé de la (ou des) finalité du traitement et obtenu son consentement. En effet la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.
Le stockage et le traitement doivent avoir au préalable fait l’objet d’une déclaration à la CNIL
Le consommateur doit être informé
Pour les cartes CB et assimilées
Le professionnel ne doit pas conserver les informations relatives au cryptogramme visuel du verso de la carte bancaire. Celles-ci ne doivent pas faire l’objet d’un stockage
Le stockage et l’utilisation des numéros et des informations figurant sur une carte bancaire doit respecter les dispositions des traités internationaux et notamment l’article 5 de la convention 108 du Conseil de l’Europe à savoir :
« Les données à caractère personnel faisant l'objet d'un traitement automatisé sont:
- obtenues et traitées loyalement et licitement;
- enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités;
- adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées;
- exactes et si nécessaire mises à jour;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. »
Il en résulte que la collecte et la conservation du numéro de carte bancaire, de la date de validité de la carte ainsi que celui du pictogramme au verso de la carte, dans un traitement automatisé d'informations nominatives doit s'effectuer dans le respect de ces dispositions de l'article 5 de la convention n°108 du Conseil de Europe et 6 et suivants de la directive 95/46/CE du Parlement européen du 24/10/1995
Ce même traitement automatisé des numéros de carte bancaire doit aussi, au regard du droit français, faire l’objet d’une déclaration à la CNIL décrivant la finalité poursuivie dans les conditions prévues aux articles 6 et 7 de la loi n° 78-17 du 6 janvier 1978. Le manquement à cette obligation engage la responsabilité du responsable du traitement (art 34 de la loi n° 78-17 du 6 janvier 1978) et constitue une infraction prévue et réprimée par l’article 226-17 du Code pénal.
La CNIL suivant la délibération n° 03-034 du 19 juin 2003 a adopté une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance ayant pour objet « en l'état du droit et des procédés actuels de paiement, notamment sur Internet, de préciser les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents au numéro de carte bancaire. »
Cette recommandation concerne les ventes et les fournitures de prestation de service conclues sans la présence physique simultanée du professionnel et du consommateur avec l’utilisation une ou plusieurs techniques de communication à distance.
Cette recommandation s’applique exclusivement aux cartes CB et assimilées, elle ne s’applique donc pas aux cartes « privatives », ni aux cartes accréditives. Néanmoins l’utilisation et la conservation des données concernant ces cartes privatives ou accréditives sont soumises à la réglementation de la convention 108 du Conseil de l’Europe et de la loi n° 78-17 du 6 janvier 1978.
La finalité de l’utilisation des numéros de CB est le paiement du prix contractuel qui est la contrepartie du bien ou du service délivré.
Certaine finalités nouvelles sont apparues notamment celle permettant d’identifier un consommateur de façon certaine (par exemples réservation SNCF, billetterie spectacle, chambre d’Hôtel….). Ces nouvelles finalités doivent d’une part être déclarées à la CNIL et d’autre part soient portées à la connaissance des consommateurs concernés avant tout stockage ou utilisation et que celui-ci ai donné son consentement formel qui au titre du h de l’article 2 de la directive 95/46 CE consiste en «toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.»
L'article 25 de la loi 78-17 du 6 janvier 1978 dispose que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.
