E-commerce : entre RGPD et PCI DSS

L’e-commerce ne cesse de se développer et de séduire les commerçants de toute taille. L’acte commercial repose sur le paiement des achats en ligne, la carte bancaire joue donc un rôle central dans la transaction entre le commerçant et son client. Par conséquent la sécurité des données personnelles et bancaires, soumises respectivement au RGPD et au PCI DSS, est essentielle et presque induite pour le client.

En 2019, selon l'Observatoire CB, 71 millions de cartes bancaires en France, distribuées par les prestataires de services de paiement, ont permis d’effectuer environ 500 milliards d'euros de paiements par carte bancaire. Sur cette même période, le nombre total de paiements par carte a progressé de 8,8 % en volume et 6,4 % en valeur.

Pour le seul premier semestre 2020, malgré ou à cause de la crise Covid, les ventes e-commerce et à distance ont affiché une croissance de 4,5 %. Un succès que l’usage du Click & Collect devrait renforcer.

Chaque transaction de paiement en ligne expose les données personnelles et bancaires de l’acheteur, et elle est soumise pour le vendeur à une obligation de sécurité. Cette dernière repose sur deux piliers : la protection des données personnelles avec le RGPD, Règlement général européen sur la protection des données ; la protection des données personnelles bancaires sous couvert du PCI DSS.

Les données personnelles sont ciblées ! Découvrez ici leur valeur pour les cyberattaquants : Le prix d’une cyberattaque et les conséquences du non-respect du standard PCI DSS

La carte bancaire face au RGPD

L’identité de l’acheteur est bien évidemment incontournable dans l’acte d’achat en ligne. L’entreprise peut conserver ces informations qui vont alimenter sa base clients. Leur usage s’exerce dans le cadre du RGPD.

Le commerçant doit recueillir le consentement pour conserver ses données, ce qui doit prendre la forme d'un acte de volonté univoque, par exemple au moyen d'une case à cocher (non pré-cochée par défaut).

Pour les données bancaires, le RGPD nous apprend que les commerçants doivent envisager leur système de paiement en tenant compte des principes de protection des données par défaut et dès la conception. Nous comprenons que les données strictement nécessaires - qui sont par défaut le numéro de la carte, la date d'expiration, et le cryptogramme visuel - qu’elles ne doivent pas être conservées au-delà de la transaction.

Le cas particulier des paiements récurrents et des paiements “on-click”

Il existe des cas particuliers qui visent à faciliter les achats : les abonnements mensuels et les paiements “on-click”. Ils permettent au commerçant de conserver légitimement les données bancaires des clients qui souscrivent à une offre pour les exploiter lors des prochaines transactions.

En souscrivant à un abonnement complémentaire, le client affiche sa volonté de s’inscrire dans une relation commerciale régulière avec le commerçant afin de pouvoir acheter fréquemment et facilement sur son site. C’est ainsi que lors de l’acte de paiement les coordonnées bancaires du client peuvent s’afficher directement, sans que celui-ci ait à les re-saisir.

La CNIL stipule que la conservation des données bancaires peut s’exercer sous réserve :

  • de fournir une information complète ;
  • de permettre d’exercer facilement un droit d’opposition via une case à cocher ;
  • de permettre facilement et à tout moment la suppression des données bancaires ;
  • de tenir compte du refus exprimé par le client ;
  • de mettre en œuvre des mesures de sécurité appropriées.

RGPD et PCI DSS

Dans le cadre du RGPD, l’e-marchand est soumis aux obligations de protection des données personnelles de ses clients, dont les données bancaires sont une composante. Le non-respect de ces obligations, la non-conformité, et perte ou le vol de données peuvent entraîner des sanctions administratives, qui se révèlent dissuasives :

  • Une amende de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour le non-respect des obligations incombant au responsable du traitement et au sous-traitant, à l’organisme de certification et à l’organisme de suivi des codes de conduite ;
  • Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour le non-respect de l’obligation de consentement et des autres droits des personnes concernées, l’obligation de mettre en place des mesures spécifiques en cas de transferts des données dans un pays non européen, des obligations découlant des droits des États membres, des injonctions et autres mesures de remise à l’ordre prononcées par la CNIL.

Les sanctions administratives ne se substituent pas aux sanctions pénales. Une entreprise qui manque à ses obligations peut donc aussi être poursuivie en justice par des victimes ou toute personne concernée par ces erreurs.

  • Les peines prononcées peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende selon la gravité des infractions.

Tous ces points évoqués nous ramènent invariablement à la certification PCI DSS. Les données de carte bancaire entrent dans la définition des données à caractère personnel (DCP) introduite par le RGPD. Les entreprises qui doivent appliquer le standard PCI DSS doivent également être conformes au RGPD. Les deux textes se rejoignent dans un objectif commun, protéger les données des clients.

La démarche de conformité PCI DSS pour l’e-commerçant

Si le RGPD impose de sécuriser les traitements, la disponibilité et l’intégrité des données, le PCI DSS se focalise principalement sur la confidentialité, ainsi tous deux se complètent. A la différence du périmètre du RGPD qui nécessite une gouvernance, le PCI DSS est un référentiel essentiellement organisationnel et technique qui se révèle un facilitateur pour la mise en place du règlement européen.

Même si la démarche est volontaire, donc en théorie non soumise à une obligation, l’e-commerçant a donc tout intérêt à adopter la conformité au PCI DSS comme une bonne pratique pour auditer sa cybersécurité, prouver sa conformité par le biais d’une simple auto-évaluation, et confirmer ses engagements. S’il déploie sa propre méthode de paiement, la conformité PCI DSS est un gage de confiance à ne pas négliger. S’il adhère à une plateforme de distribution et de paiement, il devra s’assurer que ses propres processus sont conformes. Et dans quasiment tous les cas, c’est sa banque qui lui demandera la certification afin d’apporter une forme de garantie dans la relation avec l’entreprise et ses clients.

Pour en savoir plus, découvrez l’article PCI DSS : PCI DSS : Comment déterminer son SAQ et comment se mettre en conformité ?