Les mesures de sécurité.
La commission considère que la responsabilité du traitement visant à conserver le numéro de la carte du client afin de faciliter ses éventuels achats ultérieurs sur un site marchand ou pour le règlement d'un abonnement incombe en principe au commerçant bénéficiant du stockage des données relatives à la carte, c'est-à-dire à celui au bénéfice duquel les transactions réalisées avec les données stockées seront opérées. Les prestataires qui réalisent le stockage des données relatives à la carte pour le compte du commerçant ont la qualité de sous-traitant et sont tenus à la mise en place de mesures de sécurité adaptées.
La commission observe que les pratiques liées à la collecte du numéro de carte de paiement entraînent la multiplication de bases de données pouvant potentiellement faire l'objet d'une réutilisation frauduleuse, en cas notamment de faille de sécurité aboutissant à la compromission de ces données.
La commission considère en conséquence que les responsables de traitement doivent s'efforcer d'élaborer et d'adopter des pratiques exemplaires et promouvoir des comportements qui tiennent compte des impératifs de sécurité et qui respectent les intérêts légitimes des individus.
A cet égard, la commission rappelle que :

- l'article 34 de la loi « informatique et libertés » impose au responsable de traitement de prendre des mesures de sécurité afin d'éviter notamment tout accès illégitime aux données traitées. Ces mesures doivent être proportionnées aux risques engendrés par le traitement pour les personnes concernées. Les accès non autorisés aux données relatives à la carte pouvant déboucher sur la réalisation de transactions frauduleuses, la confidentialité de ces données se doit d'être spécifiquement protégée. Le non-respect de cette obligation de sécurité est sanctionné par l'article 226-17 du code pénal ;
- l'article 35 de la loi « informatique et libertés » impose au responsable de traitement désirant externaliser la gestion du système de paiement de choisir un sous-traitant présentant des garanties suffisantes permettant de s'assurer de la mise en œuvre des mesures de sécurité rendues nécessaires au titre de l'article 34, et de fixer contractuellement les objectifs de sécurité qu'ils imposent à leur sous-traitant. Dans tous les cas, le recours à la sous-traitance ne dispense en aucun cas le responsable de traitement de ses obligations au titre de l'article 34.

Ceci étant rappelé, elle recommande que :

- les responsables de traitements utilisent uniquement des services de paiement en ligne sécurisés et conformes à l'état de l'art et à la réglementation applicable. A cet égard, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI-DSS) doivent être utilisés. Le responsable doit également s'assurer de la conformité du traitement aux exigences des articles 34 et 35 de la loi du 6 janvier 1978 modifiée, au travers notamment de la mise en œuvre d'une démarche de gestion des risques de manière à déterminer les mesures de sécurité organisationnelles et techniques nécessaires. Pour accompagner les responsables dans cette démarche, des guides « Gestion des risques vie privée » sont accessibles sur le site web de la commission ;
- le responsable de traitement et son/ses sous-traitants éventuels adoptent une politique de gestion stricte des habilitations de leurs personnels, ne donnant accès au numéro de la carte de paiement des clients que lorsque cela est rigoureusement nécessaire. Des mesures d'obfuscation (masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage) ou de remplacement du numéro de carte par un numéro non signifiant (« tokenisation ») doivent être mises en œuvre afin de limiter l'accès aux numéros de cartes. Le personnel doit être sensibilisé aux risques de fraudes en matière de données relatives à la carte et aux mesures de sécurité permettant de les éviter ;
- le responsable de traitement et son ou ses sous-traitants éventuels ne procèdent en aucun cas à l'enregistrement de données relatives à la carte de paiement localement, sur l'équipement terminal de leurs clients (tels qu'ordinateurs ou ordiphones par exemple), et ne doivent pas non plus inciter ces derniers à procéder à un tel enregistrement, ces équipements n'étant pas conçus pour assurer la sécurité de ce type de données ;
- le responsable de traitement et son ou ses sous-traitants éventuels prennent les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données relatives à la carte lorsque celles-ci sont collectées via un service de communication au public en ligne. Les données transitant sur des canaux de communication publics ou susceptibles d'interception doivent notamment faire l'objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée ;
- lorsque les données relatives à la carte de paiement sont conservées afin de faciliter la réalisation ultérieure de transactions, les accès ou utilisations de ces données doivent faire l'objet de mesures de traçabilité spécifiques permettant de détecter a posteriori tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable ;
- les personnes dont les données ont fait l'objet d'une violation de sécurité soient notifiées afin qu'elles puissent prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de leurs données (contestation de paiements frauduleux, mise en opposition de la carte, etc.) ;
- lorsque les données relatives à la carte de paiement sont conservées pour une finalité de lutte contre la fraude, elles doivent faire l'objet de mesures techniques visant à prévenir toute réutilisation illégitime. Ces mesures peuvent notamment consister à stocker les numéros de la carte de paiement sous forme hachée avec utilisation d'un sel secret qui ne soit pas conservé dans le même espace de stockage ;
- des moyens d'authentification renforcée du titulaire de la carte de paiement soient mis en place, visant à s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance ;
- lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, il est également nécessaire de mettre en place des mesures de sécurité telle que la traçabilité des accès aux numéros de la carte. Elle recommande qu'une solution alternative sécurisée, sans coût supplémentaire, soit proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.