Les données collectées.
Les données nécessaires à la réalisation d'une transaction à distance par carte de paiement sont le numéro de la carte, la date d'expiration et le cryptogramme visuel.
La commission rappelle que seules les données adéquates, pertinentes et non excessives au regard de la finalité du traitement doivent être collectées.
S'agissant de l'identité du titulaire de la carte, dès lors que cette donnée n'est pas requise pour la réalisation d'une transaction en ligne, elle ne doit pas être collectée par le système de paiement sauf lorsqu'elle est justifiée pour la poursuite d'une finalité déterminée et légitime, telle que la lutte contre la fraude.
La commission considère également que le responsable de traitement, ou son prestataire, ne peut demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement, même si le cryptogramme visuel et une partie des numéros sont masqués. En effet, la transmission de ce document n'est pas compatible avec les obligations de sécurité et les conditions d'utilisation que doit respecter le titulaire de la carte de paiement conformément à l'article L. 133-16 du code monétaire et financier.