Nos conseils RGPD pour être plus blancs que neige

 

Les lutins ayant modernisé leur technique de production et leur logistique, peut-être avez-vous acheté ou reçu pour Noël des présents commandés sur Internet. Après l’effervescence des fêtes et les étrennes du Père Noël, il est bon de rappeler les gestes de sécurité à adopter pour vos futures courses sur le Web. Entre commandes, livraisons et « click & collect », la plupart des commerçants digitalisent désormais leurs services. Eh oui, il faut aller de l’avent…euh de l’avant ! Mais cette dématérialisation ne s’improvise pas. Elle doit suivre de nombreuses règles, notamment pour protéger les données personnelles des consommateurs.

A notre tour de vous offrir un cadeau ! RGPD-Experts vous livre ses secrets pour assurer la conformité de vos systèmes de paiement à distance.

Les bons réflexes à avoir en tant qu’acheteur

Les clients doivent prendre leurs gardes lorsqu’ils règlent un article sur Internet. En effet, de nombreux sites fictifs ont été conçus uniquement pour s’accaparer les données bancaires des internautes. Des personnes malveillantes peuvent aussi intercepter ces informations compromettantes, même lorsqu’elles sont communiquées sur la page d’une vraie marque.

Pour éviter ces désagréments, nous vous recommandons de vérifier que le site est sécurisé. La présence d’un cadenas sur la barre d’adresse du moteur de recherche suffit généralement à le confirmer.

 

 

Nous vous incitons aussi à mettre en place l’option de « double authentification » proposée par votre banque[1]. Cette mesure introduit un paiement en deux étapes : après avoir retranscrit votre numéro de carte, sa date d’expiration et son cryptogramme, il vous sera demandé de confirmer votre achat une seconde fois (grâce à un code envoyé par SMS ou par mail, en vous connectant à votre application bancaire, etc.).

Impossible de détailler ici l’ensemble des bonnes pratiques à adopter, sans risquer d’y passer le réveillon ! Voici en substance les points de vigilance à retenir lorsque vous achetez un article en ligne :

Image extraite de l’article « Les réflexes pour sécuriser vos achats en ligne », 26 nov. 2019, site de la CNIL[2], disponible à l’adresse suivante : https://www.cnil.fr/fr/les-reflexes-pour-securiser-vos-achats-en-ligne

ATTENTION – La vigilance des acquéreurs n’exempte pas les commerçants de leur responsabilité. Il leur revient de s’assurer que leur dispositif de paiement à distance est conforme[3], et protège les données personnelles de leurs clients.

Les obligations légales à respecter en tant que vendeur

Comme pour tout traitement de données, les e-commerçants doivent fonder la collecte des informations bancaires de leurs clients sur une base légale [4], c’est-à-dire invoquer les motifs justifiant légalement leur droit de recueillir ces données.

Ces coordonnées bancaires peuvent notamment être réclamées pour :

  • Payer ou réserver un bien/service à distance ;
  • Régler à distance en plusieurs fois un abonnement souscrit en ligne.

Les vendeurs ne peuvent en principe pas conserver les données bancaires de leurs clients au-delà de la transaction.

S’ils le souhaitent, ils devront non seulement invoquer la raison pour laquelle ils veulent garder plus longtemps ces coordonnées bancaires (base légale), mais aussi obtenir le consentement exprès et éclairé de la personne concernée [5].

En d’autres termes, l’acheteur devra clairement accepter que ses données de carte bancaire soient conservées par le vendeur après son paiement (en cochant une case ou remplissant un formulaire par exemple). Il doit pouvoir revenir sur son accord à tout moment, simplement et sans frais.

 

 

Finalité de la collecte des données bancairesDurée de conservation
Paiement unique, en un « clic »– Jusqu’au paiement complet (si pour régler le bien/service)
– Jusqu’à la réception du bien ou l’exécution de la prestation de service, voire jusqu’à l’expiration du délai légal de rétractation (si pour réserver le bien/service)
AbonnementJusqu’à la dernière échéance de paiement (sauf si l’abonnement prévoit une tacite reconduction)
Relation commerciale régulière / facilitation des achats ultérieurs réguliers du consommateurJusqu’au retrait du consentement de l’acheteur ou l’expiration de la validité des données de la carte bancaire

Naturellement, le commerçant ne peut pas faire ce qu’il vœux veut des données bancaires qu’il conserve. Il doit impérativement prendre les mesures de sécurité nécessaires pour protéger ces informations.

Pour cela, dispose de plus d’un tour dans son sac sa hotte. Il peut s’agir :

  • De crypter ces données et de s’assurer du matériel de stockage de ces coordonnées bancaires ;
  • De masquer tout ou partie du numéro de la carte bleue lors de son affichage (exemple : 54XX 25XX XXX XX78);
  • D’instaurer un journal des connexions permettant de tracer l’utilisation de ces données et d’identifier l’auteur de la manipulation, etc.

Sachez également que la CNIL à rappelé toutes les bonnes pratiques quant aux paiements à distance par carte bancaire ici

* * *

La gestion des paiements à distance est ainsi strictement encadrée par la législation en vigueur en matière de protection des données personnelles. Cela pourrait sentir le sapin pour les e-commerçants qui décideraient de ne pas s’y soumettre !

En effet, la CNIL veille au respect de ces règles. Or, lorsqu’elle constate à distance la non-conformité de certaines pages Web ou lorsqu’elle est saisie par des réclamations de tiers, la Commission approfondie fréquemment ses contrôles. Par effet boule de neige, elle relève souvent – au cours de ses investigations complémentaires – d’autres manquements…

Votre site Internet et votre moyen de paiement à distance constituent votre première vitrine de conformité. Ne les négligez pas ! Vous risqueriez de placer vos propres em…Bûches de Nöel !

L.H

 

[1] Soit sur votre application bancaire, soit avec l’aide de votre conseiller bancaire.

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[3] Nous vous avisons que seule sera ici abordée la conformité de ces systèmes de paiement aux législations européenne et nationale applicables en matière de protection des données à caractère personnel. Nous n’envisageons pas les autres obligations légales susceptibles de régir ces dispositifs (Code de la consommation, obligations fiscales, etc.).

[4] L’article 6 du RGPD propose 6 bases légales : l’exécution d’un contrat ou de mesures précontractuelles prises à la demande de la personne concernée, le consentement de la personne concernée, une mission d’intérêt public par une autorité publique aux fins d’exécuter sa mission, l’intérêt légitime du responsable de traitement, ou la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers.

[5] Tel que le prévoit la délibération de la CNIL n°2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, ainsi que la décision du Conseil d’Etat n°429571 du 10 décembre 2020.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.