VENTE À DISTANCE : RECOMMANDATION PORTANT SUR LE TRAITEMENT DES DONNÉES RELATIVES À LA CARTE DE PAIEMENT

 

Dans le Journal Officiel du 9 octobre 2018 est parue la délibération n° 2018-303 du 6 septembre 2018, portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.
Cette recommandation vient abroger la délibération n° 2017-222 du 20 juillet 2017.

Pour rappel, le 19 juin 2003, la Commission nationale de l’informatique et des libertés (CNIL) avait adopté une délibération, portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance.

Aujourd’hui, au regard de l’évolution des pratiques du commerce en ligne et du cadre légal et technologique cette délibération est actualisée.

Elle s’applique aux traitements de données relatives à la carte de paiement lors d’une vente d’un bien ou fourniture d’une prestation de service conclu, sans la présence physique simultanée des parties, entre un consommateur (personne physique) et un professionnel, et qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance (Internet, téléphone, etc.).

Cette délibération porte sur :

  • Les finalités du traitement
  • La base légale du traitement
  • Les données collectées
  • La durée de conservation des données
  • La gestion des réclamations
  • Les droits des personnes
  • Les mesures de sécurité

L’article 35 du RGPD prévoit la conduite d’une Analyse d’Impact relative à la protection des données (PIA), lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, compte tenu notamment de la nature des données traitées. A cet égard, la CNIL rappelle que les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).

La Commission rappelle aux organismes qui mettraient en œuvre un traitement de données de paiement qu’ils sont susceptibles d’être tenus, selon l’ampleur du traitement et les modalités de sa mise en œuvre, de réaliser une Analyse d’Impact relative à la Protection des Données (PIA).

Actecil peut vous accompagner dans la mise en place et la réalisation d’une Analyse d’Impact (PIA). La méthodologie utilisée par nos Consultants juristes repose sur celle de la CNIL. Elle permet de construire des traitements de données respectueux de la vie privée et de démontrer leur conformité au règlement général sur la protection des données (RGPD).

En savoir plus


Actualité du Groupe


12 octobre 2018 : ÉVOLUTION D’APM VERSION 21.2.9
11 octobre 2018 : VENTE À DISTANCE : RECOMMANDATION PORTANT SUR LE TRAITEMENT DES DONNÉES RELATIVES À LA CARTE DE PAIEMENT
11 octobre 2018 : LA MINUTE RGPD : LE RECUEIL DU CONSENTEMENT
11 octobre 2018 : ACTECIL NOUVELLE-CALÉDONIE PARTICIPE AU DIGITAL FESTIVAL à TAHITI
11 octobre 2018 : RETROUVEZ ACTECIL NOUVELLE-CALEDONIE AU DIGINOVA
13 septembre 2018 : Apéro RGPD gratuit au Pathé Brumath le 11 octobre 2018
12 septembre 2018 : ActeCil anime une conférence RGPD gratuite en Martinique
12 septembre 2018 : L’édition 2018 du code de la protection des données vient de paraître !
12 septembre 2018 : La Minute RGDP : violation de données personnelles
12 septembre 2018 : Prélèvement de l’impôt à la source et RGPD : bénéficiez de l’expertise d’ActeCil !
accueil Blog Actu-CIL