E-commerce : entre RGPD et PCI DSS
L’e-commerce ne cesse de se développer et de séduire les commerçants de toute taille. L’acte commercial repose sur le paiement des achats en ligne, la carte bancaire joue donc un rôle central dans la transaction entre le commerçant et son client. Par conséquent la sécurité des données personnelles et bancaires, soumises respectivement au RGPD et au PCI DSS, est essentielle et presque induite pour le client.
En 2019, selon l'Observatoire CB, 71 millions de cartes bancaires en France, distribuées par les prestataires de services de paiement, ont permis d’effectuer environ 500 milliards d'euros de paiements par carte bancaire. Sur cette même période, le nombre total de paiements par carte a progressé de 8,8 % en volume et 6,4 % en valeur.
Pour le seul premier semestre 2020, malgré ou à cause de la crise Covid, les ventes e-commerce et à distance ont affiché une croissance de 4,5 %. Un succès que l’usage du Click & Collect devrait renforcer.
Chaque transaction de paiement en ligne expose les données personnelles et bancaires de l’acheteur, et elle est soumise pour le vendeur à une obligation de sécurité. Cette dernière repose sur deux piliers : la protection des données personnelles avec le RGPD, Règlement général européen sur la protection des données ; la protection des données personnelles bancaires sous couvert du PCI DSS.
Les données personnelles sont ciblées ! Découvrez ici leur valeur pour les cyberattaquants : Le prix d’une cyberattaque et les conséquences du non-respect du standard PCI DSS
L’identité de l’acheteur est bien évidemment incontournable dans l’acte d’achat en ligne. L’entreprise peut conserver ces informations qui vont alimenter sa base clients. Leur usage s’exerce dans le cadre du RGPD.
Le commerçant doit recueillir le consentement pour conserver ses données, ce qui doit prendre la forme d'un acte de volonté univoque, par exemple au moyen d'une case à cocher (non pré-cochée par défaut).
Pour les données bancaires, le RGPD nous apprend que les commerçants doivent envisager leur système de paiement en tenant compte des principes de protection des données par défaut et dès la conception. Nous comprenons que les données strictement nécessaires - qui sont par défaut le numéro de la carte, la date d'expiration, et le cryptogramme visuel - qu’elles ne doivent pas être conservées au-delà de la transaction.
Il existe des cas particuliers qui visent à faciliter les achats : les abonnements mensuels et les paiements “on-click”. Ils permettent au commerçant de conserver légitimement les données bancaires des clients qui souscrivent à une offre pour les exploiter lors des prochaines transactions.
En souscrivant à un abonnement complémentaire, le client affiche sa volonté de s’inscrire dans une relation commerciale régulière avec le commerçant afin de pouvoir acheter fréquemment et facilement sur son site. C’est ainsi que lors de l’acte de paiement les coordonnées bancaires du client peuvent s’afficher directement, sans que celui-ci ait à les re-saisir.
La CNIL stipule que la conservation des données bancaires peut s’exercer sous réserve :
Dans le cadre du RGPD, l’e-marchand est soumis aux obligations de protection des données personnelles de ses clients, dont les données bancaires sont une composante. Le non-respect de ces obligations, la non-conformité, et perte ou le vol de données peuvent entraîner des sanctions administratives, qui se révèlent dissuasives :
Les sanctions administratives ne se substituent pas aux sanctions pénales. Une entreprise qui manque à ses obligations peut donc aussi être poursuivie en justice par des victimes ou toute personne concernée par ces erreurs.
Tous ces points évoqués nous ramènent invariablement à la certification PCI DSS. Les données de carte bancaire entrent dans la définition des données à caractère personnel (DCP) introduite par le RGPD. Les entreprises qui doivent appliquer le standard PCI DSS doivent également être conformes au RGPD. Les deux textes se rejoignent dans un objectif commun, protéger les données des clients.
Si le RGPD impose de sécuriser les traitements, la disponibilité et l’intégrité des données, le PCI DSS se focalise principalement sur la confidentialité, ainsi tous deux se complètent. A la différence du périmètre du RGPD qui nécessite une gouvernance, le PCI DSS est un référentiel essentiellement organisationnel et technique qui se révèle un facilitateur pour la mise en place du règlement européen.
Même si la démarche est volontaire, donc en théorie non soumise à une obligation, l’e-commerçant a donc tout intérêt à adopter la conformité au PCI DSS comme une bonne pratique pour auditer sa cybersécurité, prouver sa conformité par le biais d’une simple auto-évaluation, et confirmer ses engagements. S’il déploie sa propre méthode de paiement, la conformité PCI DSS est un gage de confiance à ne pas négliger. S’il adhère à une plateforme de distribution et de paiement, il devra s’assurer que ses propres processus sont conformes. Et dans quasiment tous les cas, c’est sa banque qui lui demandera la certification afin d’apporter une forme de garantie dans la relation avec l’entreprise et ses clients.
Pour en savoir plus, découvrez l’article PCI DSS : PCI DSS : Comment déterminer son SAQ et comment se mettre en conformité ?