Utilisée comme instrument de paiement, la carte bancaire est un support comportant des données à caractère personnel (le nom du porteur, le numéro de la carte et la date d’expiration au recto ; la signature et le cryptogramme au verso). Des informations bancaires sont également intégrées à la piste magnétique et à la puce de la carte. La carte bancaire est parfois utilisée comme un identifiant commercial en cas de vente à distance ou comme outil de segmentation comportementale. L’exploitation des données résultant de son utilisation permet, en effet, d’obtenir des informations sur les habitudes de consommation, les déplacements ou la localisation géographique de son porteur. À l’heure où se développent de nouveaux dispositifs de paiement qui visent à faciliter et à accroître la sécurité des paiements par carte, il est important de rappeler que toutes ces informations entrent dans le champ d’application de la loi du 6 janvier 1978 modifiée en 2004.
Une finalité principale : le paiement
La collecte et la conservation du numéro de carte bancaire dans un traitement automatisé de données doivent s’effectuer dans le respect de la loi susmentionnée. Le responsable de traitement doit notamment définir la finalité du traitement, la durée de conservation des données, informer les personnes concernées conformément aux dispositions de l’article 32 de la loi et mettre en œuvre des mesures de sécurité adéquates afin de garantir l’intégrité des données.
«
Toute utilisation d’une carte de paiement produit des informations sur son porteur qu’il s’agisse des achats réalisés, de ses centres d’intérêt, de ses habitudes de consommation, de son niveau de vie, ou de ses déplacements. Ces données sont enregistrées dans les traitements automatisés mis en œuvre par les établissements bancaires. Les informations relatives aux transactions réalisées à l’aide d’une carte bancaire sont couvertes par le secret bancaire. Elles ne peuvent être transmises à d’autres personnes en dehors de l’établissement financier émetteur sans le consentement exprès de la personne concernée.
Marketing et lutte contre la fraude : des pratiques encadrées
Compte tenu des traces laissées par son utilisation, la carte de paiement ne doit pas uniquement être appréhendée comme un support d’informations. La Cnil s’est ainsi prononcée sur l’utilisation de ces informations à des fins de marketing ou de lutte contre la fraude.
- L’utilisation à des fins de prospection commerciale. la Cnil recommande, en cas de cartes « cobrandées » ou «
comarquées », l’utilisation d’un identifiant distinct du numéro de carte bancaire.[3] - La lutte contre la fraude. Des traitements automatisés analysant les demandes d’autorisation de paiement par carte, voire l’ensemble des opérations au moyen de celle-ci, sont mis en œuvre afin de lutter contre la fraude. Ces traitements permettent, en temps réel ou a posteriori, de déclencher des alertes sur les transactions identifiées comme suspectes. Il s’agit de prévenir des usurpations de coordonnées bancaires, des vols de cartes ou des points de compromission (terminaux électroniques de paiement ou distributeurs automatiques de billets ayant été altérés). L’établissement peut être conduit, en cas de suspicion de fraude, à bloquer partiellement ou totalement l’usage du moyen de paiement. Le porteur peut donc se retrouver dans l’impossibilité d’utiliser sa carte. Dès lors, ces traitements sont soumis à autorisation de la Commission en application des dispositions de l’article 25, I, 4° de la loi du 6 janvier 1978 modifiée en 2004.
Attention à la conservation des données
La conservation du numéro de carte bancaire au-delà de la durée nécessaire à la réalisation du paiement est possible, mais uniquement à des fins de preuve de réalisation d’une transaction. Dans ce cas, ces informations doivent être conservées sur des supports d’archivage, c’est-à-dire dans des traitements indépendants des fichiers de gestion courante de la clientèle et uniquement susceptibles d’être consultés par un service déterminé en cas de litige.
Une conservation à des fins commerciales est également possible sous réserve du recueil du consentement exprès du client. Les personnes doivent être informées au moment de la collecte des données conformément à l’article 32 de la loi du 6 janvier 1978 modifiée en 2004.
Des mesures de sécurité adéquates doivent, enfin, être mises en place pour éviter tout détournement de finalités de ces données ou leur communication à des tiers (conservation du numéro de carte sous la forme d’une valeur résultant d’une fonction de hachage, cryptage, etc.). Le cryptogramme visuel – composé de trois chiffres – figurant au dos de la carte bancaire vise à s’assurer que la personne qui procède au paiement est bien en possession de celle-ci. La sécurité des paiements en ligne repose souvent sur cette seule information qui ne doit pas être conservée par le commerçant après sa transmission à l’établissement bancaire. La Commission recommande le recours à des plateformes de paiement en ligne. Ces dispositifs permettent aux commerçants de renvoyer directement leurs clients vers la plateforme à laquelle ils adhèrent et ainsi, de ne plus conserver eux-mêmes les numéros de cartes bancaires et de ne plus avoir à mettre en place les contraintes de sécurité correspondantes. La Cnil recommande, par ailleurs, l’utilisation de techniques d’identification du porteur « fortes » ou « non rejouables » (envoi d’un SMS comportant un code à usage unique, etc.).
Enfin, le développement de nouveaux modes d’authentification comme la biométrie ou le paiement sans contact génèrent de nouveaux risques pour la vie privée (voir l'encadré). Dans ce contexte, la Cnil veille, à l’occasion de l’examen des dossiers qui lui sont soumis, au respect des principes résultant de la loi du 6 janvier 1978 modifiée en 2004.
