Articles

Article 3 AUTONOME (Délibération n° 2013-358 du 14 novembre 2013 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2003-034 du 19 juin 2003)

Article 3 AUTONOME (Délibération n° 2013-358 du 14 novembre 2013 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2003-034 du 19 juin 2003)


Sur la durée de conservation des données.
La commission considère que la durée de conservation des données relatives à la carte doit correspondre au délai nécessaire à la réalisation de la transaction, c'est-à-dire au paiement effectif qui peut être différé à la réception du bien, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance (art. L. 121-20 du code de la consommation).
S'agissant des commerçants en ligne, le risque financier d'une utilisation non autorisée pesant in fine sur ces derniers, dès lors qu'ils n'ont pas mis en œuvre un système d'authentification de leurs clients, la commission estime qu'ils peuvent conserver le numéro de carte et la date de validité de celle-ci, à l'exclusion du cryptogramme visuel, dès lors que cette conservation est nécessaire pour la gestion des éventuelles réclamations des titulaires de cartes de paiement. Les données peuvent être conservées pour la durée prévue par l'article L. 133-24 du code monétaire et financier, en l'occurrence treize mois suivant la date de débit. Ce délai peut être étendu à quinze mois afin de prendre en compte la possibilité d'utilisation de cartes de paiement à débit différé.
Les données ainsi conservées à des fins de preuve doivent être versées en archives intermédiaires et utilisées uniquement en cas de contestation de la transaction. Les numéros de carte de paiement conservés à cette fin doivent faire l'objet de mesures de sécurité techniques, telles que décrites à l'article 5 de la présente recommandation, visant à prévenir toute réutilisation illégitime.
Dans les cas où les données relatives à la carte seraient collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu'à la clôture du compte puis, le cas échéant, archivées conformément aux obligations légales en la matière.
La commission observe que la finalité du cryptogramme visuel est de s'assurer que le porteur est bien en possession du support physique de la carte. Dès lors, toute conservation du cryptogramme est susceptible de porter atteinte à cette finalité. En conséquence, la conservation du cryptogramme est interdite au-delà du temps strictement nécessaire à la réalisation de la transaction, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour les achats ultérieurs.
Dans les cas où le numéro de la carte serait utilisé à d'autres fins, telles que la constitution d'un compte client visant à faciliter les achats ultérieurs ou la lutte contre la fraude, sa durée de conservation ne saurait excéder la durée nécessaire à l'accomplissement de cette finalité.