Certains sites de e-commerce demandent des justificatifs lors des commandes payées par carte bancaire et en particulier la photocopie de la carte de paiement.
Cette collecte a pour finalité principale la lutte contre la fraude aux paiements sur internet et permet de s’assurer que le numéro de carte bancaire utilisé n’est pas usurpé.
La loi dite informatique et liberté prévoit que seules les données « adéquates, pertinentes et non excessives » au regard de la finalité du traitement doivent être collectées.
Si cette collecte paraît légitime pour les e-commerçants, la CNIL considère toutefois que cette pratique « n’est pas compatible avec les obligations de sécurité et les conditions d’utilisation que doit respecter le titulaire de la carte de paiement » même si le cryptogramme et une partie des numéros sont masqués.
Références: art. 6, 3° de la loi du 6 janvier 1978, Délibération n° 2017-222 du 20 juillet 2017 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013; Fiche pratique de la CNIL Le paiement à distance par carte bancaire du 15 novembre 2017.
