Les recommandations de la Cnil sur le paiement par CB sur internet

La Commission nationale informatique et libertés vient de mettre à disposition des usagers de nouvelles recommandations concernant le paiement en ligne par carte bancaire.

Au moment où la BCE donne le cri d’alarme concernant la hausse des fraudes à la carte bancaire dans l’espace euro, la commission nationale informatique et libertés vient de publier de nouveaux conseils concernant la sécurité de ces moyens de paiement. Ces recommandations de bonnes pratiques ont été publiées après une consultation de la Banque de France, des acteurs du commerce en ligne, des associations de défense des consommateurs et enfin du groupement des CB.

En effet, ils mettent à jour les anciens conseils émis par la Cnil en 2003 en ce qui concerne l’utilisation en ligne de tous types de cartes de paiement, interbancaires, accréditives ou privatives. Ainsi, les premiers conseils de prudence sont plutôt évidents comme le numéro de la carte qui ne doit pas être révélé à un proche pour un cas exprès de besoin de paiement. Cependant, il peut être conservé par un commerçant pour un règlement ultérieur à l’unique condition que le client soit au courant et donne son accord. Par ailleurs, cette condition doit être impérativement présente sur les sites marchands, chose qui n’est souvent pas le cas.

Le client doit avoir le choix, en cochant une case s’il le désire, qui spécifie que le site marchand a le droit de conserver des données bancaires (et également le cryptogramme visuel du dos de la carte). Le mettre dans une mention en toute petite écriture dans les conditions générales de vente ne suffit souvent pas. De plus, la suppression de ces données par l’acheteur doit être possible à tout instant et de manière rapide. Tandis que les web-commerçants doivent protéger les informations sensibles des clients sous format crypté et sécuriser également leurs serveurs de stockage.

Pour finir, la commission conseille aussi que les données concernant une carte de paiement ne doivent pas être stockées sur le terminal du client (ordinateur, Smartphone, tablette), car il est souvent mal protégé et peut être piraté facilement.