Le règlement général sur la protection des données (RGPD) impose aux commerçants proposant un système de paiement en ligne par carte bancaire plusieurs obligations. Il faut notamment veiller au consentement, à la durée de conservation et à la sécurité des données bancaires des personnes.
Les règles à respecter pour la collecte des données bancaires
Lorsqu’un commerçant ou une entreprise propose un service de paiement en ligne, il est nécessaire pour le client de fournir ses données bancaires à savoir :
- Le numéro de carte bancaire
- La date d’expiration
- Le cryptogramme visuel à 3 chiffres
La Commission nationale de l’informatique et des libertés (Cnil) a imposé par une délibération, la suppression des données une fois que la transaction est effectuée. Ainsi, en principe, un commerçant ne peut pas conserver ces données.
Toutefois, la conservation de ces données est possible pour faciliter les achats ultérieurs. Pour ce faire, il est nécessaire d’obtenir le consentement de la personne concernée. Le consentement ne doit pas être présumé et ses conditions doivent être respectées. Alors, le consentement doit être libre, spécifique, éclairé et univoque.
Attention, la présence et l’acceptation de conditions générales de vente ou d’utilisation n’est pas suffisante pour recueillir le consentement. Il faut donc bien veiller à recueillir le consentement de façon séparée. Enfin, il est nécessaire de prévoir un moyen facile de retirer ce consentement pour le client.
Le cas spécifique des abonnements premium
La conservation des données bancaires ne doit pas toujours être fondée sur le consentement. En effet, dans le cas où le client souscrit à un abonnement premium, la conservation des données bancaires peut être fondée sur la base légale de l’intérêt légitime du responsable de traitement.
Il est donc possible de conserver les données bancaires des clients adhérents. Il faut cependant garantir certains éléments. Tout d’abord, le client doit avoir eu des informations exhaustives sur la collecte de ses données bancaires. Ensuite, il doit pouvoir facilement refuser la conservation de ses données bancaires, directement sur le site internet. De plus, ses données bancaires doivent pouvoir être effacées sur sa demande. Enfin, il faut que les données conservées soient suffisamment sécurisées.
Le besoin de sécuriser les données
Il est important que cette collecte de données soit assortie de garanties. Par exemple, il est recommandé d’informer le plus rapidement possible les clients si leurs données ont fait l’objet d’un usage frauduleux ou d’une fuite de données.
Il faut également s’assurer que le paiement soit bien ordonné par la personne titulaire de la carte bancaire. Ainsi il est essentiel de prévoir des dispositifs d’authentification comme une vérification par SMS, par téléphone ou un code de vérification envoyé à l’adresse mail correspondante avec une durée de péremption courte.
D’autres mesures de sécurité peuvent être prises comme la cryptographie, la modification du numéro de carte par un numéro différent et insignifiant afin de masquer le réel numéro de carte bancaire. Le RGPD prévoit des sanctions lorsque les mesures de sécurité appropriées n’ont pas été prises par le responsable de traitement. Il est donc essentiel de veiller à tous ces éléments.
