Les mesures de sécurité.
La commission observe que les pratiques liées à la collecte du numéro de carte de paiement entraînent la multiplication de bases de données pouvant potentiellement faire l'objet d'une réutilisation frauduleuse, en cas notamment de faille de sécurité aboutissant à la compromission de ces données.
La commission considère en conséquence que les responsables de traitement doivent s'efforcer d'élaborer et d'adopter des pratiques exemplaires et de promouvoir des comportements qui tiennent compte des impératifs de sécurité et qui respectent les intérêts légitimes des individus. A cet égard, la commission rappelle que :
― l'article 34 de la loi « Informatique et Libertés » impose au responsable de traitement de prendre des mesures de sécurité afin d'éviter notamment tout accès illégitime aux données traitées. Ces mesures doivent être proportionnées aux risques engendrés par le traitement pour les personnes concernées. Les accès non autorisés aux données relatives à la carte pouvant déboucher sur la réalisation de transactions frauduleuses, la confidentialité de ces données se doit d'être spécifiquement protégée. Le non-respect de cette obligation de sécurité est sanctionné par l'article 226-17 du code pénal ;
― l'article 35 de la loi « Informatique et Libertés » impose au responsable de traitement désirant externaliser la gestion du système de paiement de choisir un sous-traitant présentant des garanties suffisantes permettant de s'assurer de la mise en œuvre des mesures de sécurité rendues nécessaires au titre de l'article 34, et de fixer contractuellement les objectifs de sécurité qu'ils imposent à leur sous-traitant. Dans tous les cas, le recours à la sous-traitance ne dispense en aucun cas le responsable de traitement de ses obligations au titre de l'article 34.
Cela étant rappelé, elle recommande que :
― les responsables de traitements utilisent uniquement des services de paiement en ligne sécurisés et conformes à l'état de l'art et à la réglementation applicable. A cet égard, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI DSS) doivent être utilisés. Le responsable doit également s'assurer de la conformité du traitement aux exigences des articles 34 et 35 de la loi du 6 janvier 1978 modifiée, au travers notamment de la mise en œuvre d'une démarche de gestion des risques de manière à déterminer les mesures de sécurité organisationnelles et techniques nécessaires. Pour accompagner les responsables dans cette démarche, des guides « Gestion des risques vie privée » sont accessibles sur le site internet de la commission ;
― les responsables de traitement et leurs sous-traitants éventuels adoptent une politique de gestion stricte des habilitations de leurs personnels ne donnant accès au numéro de la carte de paiement des clients que lorsque cela est rigoureusement nécessaire. Des mesures « d'obfuscation » (masquage de tout ou partie du numéro de la carte lors de leur affichage ou de leur stockage) ou de « tokenisation » (remplacement du numéro de carte par un numéro non signifiant) doivent être mises en œuvre afin de limiter l'accès aux numéros de carte. Le personnel doit être sensibilisé aux risques de fraudes en matière de données relatives à la carte et aux mesures de sécurité permettant de les éviter ;
― les responsables de traitements et leurs sous-traitants éventuels ne procèdent en aucun cas à l'enregistrement de données relatives à la carte de paiement sur le terminal de leurs clients et ne doivent pas non plus inciter ces derniers à procéder à un tel enregistrement, ces terminaux n'étant pas conçus pour assurer la sécurité de ce type de données ;
― les responsables de traitement et leurs sous-traitants éventuels prennent les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données relatives à la carte lorsque celles-ci sont collectées via un service de communication au public en ligne. Les données transitant sur des canaux de communication publics ou interceptables doivent notamment faire l'objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée.
Lorsque les données relatives à la carte de paiement sont conservées afin de faciliter la réalisation ultérieure de transactions, les accès ou utilisations de ces données doivent faire l'objet de mesures de traçabilité spécifiques permettant de détecter a posteriori tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable.
La commission estime nécessaire une notification aux personnes dont les données ont fait l'objet d'une violation de sécurité afin qu'elles puissent prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de leurs données (contestation de paiements frauduleux, mise en opposition de la carte, etc.).
Lorsque les données relatives à la carte de paiement sont conservées pour une finalité de lutte contre la fraude, elles doivent faire l'objet de mesures techniques visant à prévenir toute réutilisation illégitime. Ces mesures peuvent notamment consister à stocker les numéros de la carte de paiement sous forme hachée avec utilisation d'une clé secrète.
La commission recommande la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement visant à s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance.
Lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, la commission rappelle qu'il est également nécessaire de mettre en place des mesures de sécurité telle que la traçabilité des accès aux numéros de la carte. Elle recommande qu'une solution alternative sécurisée, sans coût supplémentaire, soit proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.