Avec le développement du commerce en ligne, les internautes doivent communiquer des informations concernant leur carte bancaire (numéro de la carte, cryptogramme, etc). Combien de temps ces données bancaires sont-elles conservées, dans quelles conditions de sécurité ? La CNIL vous informe.

Combien de temps les données bancaires peuvent-elles être conservées ?

Les données bancaires doivent être supprimées une fois la transaction effectuée. Cette exigence est destinée à limiter les cas d'utilisation frauduleuse des numéros de cartes bancaires.

À quelles conditions un site marchand peut-il néanmoins conserver mes données bancaires ?

Oui, Les sites marchands peuvent conserver ces données à condition qu'ils aient recueilli votre accord exprès et qu'ils vous informent de l'objectif poursuivi. Cet accord nécessite une démarche active de votre part. Pour la matérialiser sur une boutique en ligne, il est conseillé d'utiliser par exemple une case à cocher. Par défaut, cette case doit être décochée.
La conservation du numéro de carte bancaire ne doit pas constituer une condition d'utilisation du service. Le fait pour un client de refuser qu'un site marchand conserve ses coordonnées bancaires ne doit pas l'empêcher d'accéder aux services proposés par le site

En plus du numéro de carte bancaire, il faut souvent fournir les trois chiffres du cryptogramme visuel situé au dos de la carte. Cette pratique est-elle autorisée ?

Dans le but de se prémunir contre les fraudes, un site marchand peut vous demander le cryptogramme visuel de votre carte bancaire. Le but est de vérifier que vous êtes bien le titulaire de la carte . Ce cryptogramme visuel ne doit en aucun cas être conservé.

Quelles sont les obligations des éditeurs de sites marchands en matière de sécurité et de confidentialité concernant les données bancaires ?

La CNIL exige que les données bancaires soient cryptées par l'intermédiaire d'un algorithme de chiffrement dit "fort". Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l'éditeur du site internet. L'accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l'adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l'adresse du site.

Lors d'un achat, certains sites demandent également la date de naissance pour vérifier qu'il s'agit bien du porteur de la carte bancaire. N'est-ce pas une tentative d'escroquerie de la part de la part de personnes mal intentionnées ?

Non, il s'agit d'un dispositif récent dénommé "3D Secure". Il sert à renforcer la sécurité de vos achats effectués sur internet et de vérifier que vous êtes bien le porteur de la carte bancaire.
La CNIL recommande toutefois l'utilisation d'un mécanisme d'authentification non rejouable, c'est-à-dire d'un code à usage unique. Celui-ci peut par exemple vous être envoyé par SMS. Dans ce cas, ce SMS vous sera adressé sur le numéro de téléphone portable que vous avez donné à votre banque.

Que fait la CNIL pour s'assurer que ces données sont effectivement sécurisées ?

La CNIL contrôle régulièrement des sites marchands en ligne pour s'assurer du respect de la loi "informatique et libertés". Ces contrôles seront renforcés dans le courant de l'année 2011. En effet, la CNIL et la DGCCRF ont signé en janvier 2011, un protocole de coopération destiné à renforcer la protection des données personnelles des consommateurs sur les sites marchands.

Comment la coopération entre la CNIL et la DGCCRF va-t-elle s'organiser ?

Ce nouveau dispositif permet l'échange d'informations entre les deux autorités afin de renforcer leurs actions de contrôle. Ainsi, la CNIL aura communication des manquements  à la loi "Informatique et Libertés" constatés par les enquêteurs du Service national d'enquête (SNE) de la DGCCRF. Sur la base de ces informations, la CNIL pourra alors contrôler, voire sanctionner les sites marchands qui ne respecteraient pas la loi. Les mesures d'information des internautes et de sécurisation des transactions constituent sont notamment susceptibles d'être vérifiées lors de ces contrôles.