http://www.senat.fr/questions/base/2017/qSEQ171102167.html
Question écrite n° 02167 de M. Arnaud Bazin (sénateur du Val-d'Oise)
Arnaud Bazin attire l'attention de M. le secrétaire d'État, auprès du Premier ministre, chargé du numérique sur la situation de nombreux utilisateurs d'application d'achat, confrontés à l'impossibilité de supprimer leur compte bancaire sur des sites marchands.
Il apparaît en effet que l'enregistrement des données, notamment bancaires, ne peut en aucun cas être effacé, ce qui peut poser question, chaque citoyen consommateur étant présumé ne pas être lié durablement à tel ou tel site.
Eu égard au risque de piratage de certaines données, il lui demande de bien vouloir lui faire part de sa position sur le sujet et si une option de suppression des données bancaires pourrait être proposée aux acheteurs en ligne.
Réponse du Ministère de l'économie et des finances publiée dans le JO Sénat du 10/01/2019 p. 135
La Commission nationale de l'informatique et des libertés (CNIL) a adopté une délibération, le 20 juillet 2017, abrogeant la délibération du 14 novembre 2013 et portant adoption d'une recommandation relative au traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Elle rappelle que les données ne doivent être conservées que pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées et que la conservation du cryptogramme après la réalisation de la première transaction est interdite, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.
Par ailleurs, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel instaurera un cadre harmonisé de protection des données personnelles au niveau européen à partir du 25 mai 2018. L'ensemble de ces dispositions contribueront à élaborer un cadre harmonisé destiné à faciliter les paiements, sécuriser les commerçants et protéger l'usage des données personnelles.
Il est ainsi précisé, dans l'article 17 de ce règlement, que toute personne physique a le droit d'obtenir, dans les meilleurs délais, du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite (disposition dite « droit à l'oubli »). En outre, la directive 2015/2366 sur les services de paiement (DSP2) instaure des normes de sécurité plus strictes pour les paiements en ligne, en imposant sous certaines conditions l'application de l'authentification forte à ces transactions, aux fins de vérifier l'identité de la personne réalisant le paiement à l'aide d'un lien dynamique.
Il convient enfin de rappeler que les standards de sécurité PCI-DSS (Payment Card Industry-Data Security Standard), appliqués par les principaux systèmes de paiement par carte internationaux et par le GIE cartes bancaires en France, tout comme l'Observatoire de la Sécurité des Moyens de Paiement (OSMP), recommandent aux commerçants de ne pas stocker en clair toute donnée de paiement sensible après autorisation.