Articles

Article AUTONOME (Délibération n° 2018-303 du 6 septembre 2018 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017)

Article AUTONOME (Délibération n° 2018-303 du 6 septembre 2018 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017)


Après avoir entendu M. François PELLEGRINI, Commissaire, en son rapport, et Mme Nacima BELKACEM, Commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance.
Dix ans après l'adoption de cette recommandation, la Commission a adopté une nouvelle délibération visant à l'actualiser et à proposer des préconisations concrètes à l'utilisation du numéro de carte bancaire par les professionnels de la vente à distance dans un traitement automatisé.
Elle estime aujourd'hui nécessaire d'actualiser sa recommandation au regard de l'évolution des pratiques du commerce en ligne, ainsi que de celle du cadre légal et technologique.
Les dispositions de la présente recommandation, qui abroge celle de 2017, s'appliquent au traitement de données relatives à la carte de paiement (carte interbancaire ou dispositif similaire), ci-après « la carte », lors de toute vente d'un bien ou fourniture d'une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (Internet, téléphone, etc.).
Les cartes de paiement visées sont celles qui permettent notamment d'effectuer des achats chez un commerçant ou un prestataire de services affiliés à un réseau de paiement national ou international (système CB, Visa, MasterCard, etc.) mais aussi les cartes de paiement dites privatives (cartes émises par les commerçants ou par les établissements financiers spécialisés dans le crédit à la consommation) et accréditives (carte présentée par un adhérent à un fournisseur affilié au réseau de l'émetteur de la carte).
La Commission précise que l'article 35 du RGPD prévoit la conduite d'une analyse d'impact relative à la protection des données (AIPD), lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, compte tenu notamment de la nature des données traitées. A cet égard, la Commission rappelle que les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).
La Commission rappelle aux organismes qui mettraient en œuvre un tel traitement de données de paiement qu'ils sont susceptibles d'être tenus, selon l'ampleur du traitement et les modalités de sa mise en œuvre, de réaliser une AIPD.