PCI DSSQuels enjeux juridiques ?

2 juillet 2013Isabelle Renard

Docteur Ingénieur – Avocat Associéeirenard@racine.eu

- Sommaire -

PCI DSS : quel positionnement vis-à-vis du droit ?

PCI DSS et protection des données personnelles

Cabinet Racine 2

PCI DSSQuel positionnement vis-à-vis du droit ?

Cabinet Racine 3

PCI DSS n’est pas une obligation légale

PCI DSS est un standard « auto proclamé » élaboré par une organisation américaine

Le respect des standards PCI DSS ne fait l’objet d’aucune obligation légale

Mais les standards PCI DSS sont reconnus comme des « standards de fait » et ils sont imposés contractuellement par les grands réseaux de carte bancaire

  Cabinet Racine 4

Quel impact juridique ?

Même si ce n’est pas une obligation légale, la reconnaissance de PCI DSS comme standard de fait à un impact fort

Pourquoi ?

Cabinet Racine 5

En droit, dans un domaine technique, le professionnel dont le produit/service a causé un dommage peut s’exonérer s’ii peut démontrer qu ece produit/service est conforme à l’ « état de l’art »

Un standard de fait est généralement considéré comme un « état de l’art »

Dans notre cas : les conséquences d’un dommage causé par une faille de sécurité pourraient être atténuées si l’acteur concerné est conforme au standard PCI DSS

Cabinet Racine 6

Limite de l’exercice….

La « jurisprudence AZF » = l’excès de la « norme alibi »

La conformité à la norme ne doit pas empêcher le professionnel de mettre en œuvre les mesures qui s’imposent, même si elles ne sont pas prévues par la norme

Cabinet Racine 7

PCI DSSEt

Protection des données personnelles

Cabinet Racine 8

Quel cadre juridique?

La Loi Informatique et liberté (n°78-17 du 6 janvier 1078)

La recommandation CNIL du 19 juin 2003

Le futur règlement européen sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Cabinet Racine 9

En France, aucune obligation de la Loi Informatique et Libertés ne mentionne expressément PCI DSS

La CNIL n’y fait pas non plus directement allusion sur son site

Mais le respect du standard est un des éléments de conformité avec les obligations de la Loi Informatique et Libertés

Cabinet Racine 10

La finalité du traitement des numéros de carte bancaire

Qui est tenu de la déclaration à la CNIL ?

Tout acteur qui collecte/traite les numéros de carte

Cabinet Racine 11

La sécurité des traitements : une obligation juridique fondamentale

La sécurité des traitements est une OBLIGATION FONDAMENTALE de la Loi Informatique et Libertés (article 34) :

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »

Cabinet Racine 12

ARTICLE 226-17 CODE PENAL :

« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende »

Cabinet Racine 13

Sur la sécurité : les recommandations de la CNIL en 2003 :

« Les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l'état de

l'art et à la réglementation applicable »

Cabinet Racine 14

« les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte

bancaire de leurs clients »

Cabinet Racine 15

« S'agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela

est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée.

Les responsables devraient s'assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l'écran des salariés habilités (seuls les 5 derniers chiffres restent apparents).

Le personnel devrait être sensibilisé aux risques de fraudes existant en la matière »

Cabinet Racine 16

« dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés

techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été

réalisée »

Cabinet Racine 17

« les responsables de traitements portent une attention particulière aux risques qu'il y aurait à mémoriser le numéro de

carte bancaire dans l'ordinateur personnel du client, en particulier par l'intermédiaire de cookies ou fichiers log. Dans une telle situation, et conformément aux dispositions prévues par la

directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le

secteur des communications électroniques, les individus doivent être informés de la mise en oeuvre de dispositifs techniques sur

leur ordinateur et doivent disposer de la possibilité de s'opposer à la mise en oeuvre de tels dispositifs. L'exercice du droit

d'opposition devrait pouvoir couvrir les utilisations futures qui pourraient être faites de ces dispositifs durant des connexions

ultérieures Cabinet Racine 18

« s'agissant de la mise en place de système d'authentification en ligne, permettant d'accéder directement à un profil client et à des

coordonnées bancaires ("portefeuille électronique"), les commerçants informent clairement leurs clients sur les risques

induits par certains gestionnaires de mots de passe intégrés à des navigateurs internet et leur préciser la méthode permettant de

désactiver ces systèmes »

Cabinet Racine 19

Sur la durée de conservation : les recommandations de la CNIL en 2003

« La Commission considère en conséquence que la durée de conservation d'un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de

lutte contre la fraude au paiement du traitement mis en oeuvre conformément aux lois et règlement en vigueur »

Cabinet Racine 20

Le porteur doit-il donner son consentement exprès si le numéro de carte est conservé au-delà du temps nécessaire à la réalisation de la transaction ?

Pour la CNIL, la réponse est OUI : TOUTE UTILISATION DU NUMERO DE CB DOIT FAIRE L’OBJET D’UNE INFORMATION COMPLETE ET CLAIRE DU PORTEUR

Cabinet Racine 21

Quid des traitements de profiling des comportements du porteur pouvant conduire au refus d’une opération?

ILS SONT SOUMIS A AUTORISATION DE LA CNIL

Cabinet Racine 22

PCI DSS et CNIL : en synthèse

Les recommandations de la CNIL sont partiellement vieillies

Pour certains points le standard PCI DSS va maintenant au delà

Le respect du standard PCI DSS apparaît en tous cas comme un « must » pour ce qui concerne le respect de ses obligations CNIL par tout acteur concerné

Attention toutefois aux points non couverts par le standard : notamment finalité, durée de conservation

Cabinet Racine 23

Vos commentaires et vos questions sont les bienvenus

Cabinet Racine 24