L’accès à ces données doit faire l’objet, de la part du responsable de traitement, de mesures de traçabilité qui permettent la détection a postériori des accès illégitimes afin de les imputer à l’auteur des faits.
L’utilisation du paiement à distance impose au responsable de traitement de prendre toutes les mesures organisationnelles, et techniques afin de préserver toute la sécurité, l’intégrité et la confidentialité des informations indiquées sur la carte, afin de les protéger des accès illégaux par un tiers, également de leur utilisation non-conforme, de leur détournement, de la communication ou de leur modification non autorisée.
Il doit recourir à des systèmes de paiement conformes à ce qui est appelé « l’état de l’art » et dans la conformité de la législation ou de la règlementation applicable.
Les données ainsi stockées doivent être chiffrées via un algorithme réputé fort.
Les responsables de traitement et leurs sous-traitants, s’ils existent, doivent prendre toutes les dispositions nécessaires pour préserver la confidentialité et l’atteinte aux données de la carte bancaire, lorsqu’elles sont collectées via un service de communication en ligne.
Elles doivent notamment faire l’objet de mesures techniques visant à les rendre incompréhensibles à toute personne non autorisée lorsqu’elles transitent sur des canaux de communication publics ou susceptibles d’être interceptés.
Conservation des données bancaires en tant que preuve :
Lorsque la conservation des données est dans le but de prévenir de toute éventuelle contestation postérieure de la transaction, en tant que preuve, elles doivent faire l’objet de mesures techniques pour prévenir de :
1 – Toute réutilisation illégitime
2 – Toute réidentification des personnes concernées
L’utilisation du hachage, du maillage avec une clef secrète est préconisée.
Recommandations et préconisations de la CNIL
1 – Violation de la sécurité des données
Lors de la violation de la sécurité des données collectées par le responsable de traitement, chaque personne concernée doit être informée par la voie de la notification de la violation de ses données personnelles de la carte bancaire.
L’information doit être apportée sans délai aux personnes concernées afin de leur permettre de limiter tous les risques de réutilisation frauduleuse. ( Paiements et prélèvements frauduleux à contester, opposition de la carte bancaire, alerte au gestionnaire de compte de l’agence bancaire )
2 – Lutte contre la fraude
Le responsable de traitement doit prendre toutes les mesures techniques afin de prévenir des risques et des dangers de la réutilisation non-conforme.
Le stockage peut également s’opérer avec une forme de hachage ou de maillage avec l’utilisation d’une clef secrète outre la mise en place de moyens d’authentification renforcée à destination du titulaire de la carte de paiement, afin qu’il soit identifié sans ambiguïté comme étant à l’origine de l’utilisation de l’achat ou du règlement à distance.
3 – La collecte par téléphone
La mise en place des mesures de sécurité s’applique également dans ce genre de collecte, outre la traçabilité des accès aux numéros de la carte.
La CNIL préconise également que le responsable de traitement doit proposer une solution alternative sécurisée, sans coût supplémentaire, pour les personnes concernées qui ne souhaitent pas transmettre leurs données bancaires via ce moyen ou support.