La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

PCI DSS Quels enjeux juridiques ? 2 juillet 2013 Isabelle Renard Docteur Ingénieur – Avocat Associée

Présentations similaires


Présentation au sujet: "PCI DSS Quels enjeux juridiques ? 2 juillet 2013 Isabelle Renard Docteur Ingénieur – Avocat Associée"— Transcription de la présentation:

1 PCI DSS Quels enjeux juridiques ? 2 juillet 2013 Isabelle Renard Docteur Ingénieur – Avocat Associée

2 - Sommaire - PCI DSS : quel positionnement vis-à-vis du droit ? PCI DSS et protection des données personnelles Cabinet Racine2

3 PCI DSS Quel positionnement vis-à-vis du droit ? Cabinet Racine3

4 PCI DSS nest pas une obligation légale PCI DSS est un standard « auto proclamé » élaboré par une organisation américaine Le respect des standards PCI DSS ne fait lobjet daucune obligation légale Mais les standards PCI DSS sont reconnus comme des « standards de fait » et ils sont imposés contractuellement par les grands réseaux de carte bancaire Cabinet Racine4

5 Quel impact juridique ? Même si ce nest pas une obligation légale, la reconnaissance de PCI DSS comme standard de fait à un impact fort Pourquoi ? Cabinet Racine5

6 En droit, dans un domaine technique, le professionnel dont le produit/service a causé un dommage peut sexonérer sii peut démontrer qu ece produit/service est conforme à l « état de lart » Un standard de fait est généralement considéré comme un « état de lart » Dans notre cas : les conséquences dun dommage causé par une faille de sécurité pourraient être atténuées si lacteur concerné est conforme au standard PCI DSS Cabinet Racine6

7 Limite de lexercice…. La « jurisprudence AZF » = lexcès de la « norme alibi » La conformité à la norme ne doit pas empêcher le professionnel de mettre en œuvre les mesures qui simposent, même si elles ne sont pas prévues par la norme Cabinet Racine7

8 PCI DSS Et Protection des données personnelles Cabinet Racine8

9 Quel cadre juridique? La Loi Informatique et liberté (n°78-17 du 6 janvier 1078) La recommandation CNIL du 19 juin 2003 Le futur règlement européen sur la protection des personnes physiques à légard du traitement des données à caractère personnel Cabinet Racine9

10 En France, aucune obligation de la Loi Informatique et Libertés ne mentionne expressément PCI DSS La CNIL ny fait pas non plus directement allusion sur son site Mais le respect du standard est un des éléments de conformité avec les obligations de la Loi Informatique et Libertés Cabinet Racine10

11 La finalité du traitement des numéros de carte bancaire Qui est tenu de la déclaration à la CNIL ? Tout acteur qui collecte/traite les numéros de carte Cabinet Racine11

12 La sécurité des traitements : une obligation juridique fondamentale La sécurité des traitements est une OBLIGATION FONDAMENTALE de la Loi Informatique et Libertés (article 34) : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher quelles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » Cabinet Racine12

13 ARTICLE CODE PENAL : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de Euros d'amende » Cabinet Racine13

14 Sur la sécurité : les recommandations de la CNIL en 2003 : « Les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l'état de l'art et à la réglementation applicable » Cabinet Racine14

15 « les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients » Cabinet Racine15

16 « S'agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s'assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l'écran des salariés habilités (seuls les 5 derniers chiffres restent apparents). Le personnel devrait être sensibilisé aux risques de fraudes existant en la matière » Cabinet Racine16

17 « dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée » Cabinet Racine17

18 « les responsables de traitements portent une attention particulière aux risques qu'il y aurait à mémoriser le numéro de carte bancaire dans l'ordinateur personnel du client, en particulier par l'intermédiaire de cookies ou fichiers log. Dans une telle situation, et conformément aux dispositions prévues par la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, les individus doivent être informés de la mise en oeuvre de dispositifs techniques sur leur ordinateur et doivent disposer de la possibilité de s'opposer à la mise en oeuvre de tels dispositifs. L'exercice du droit d'opposition devrait pouvoir couvrir les utilisations futures qui pourraient être faites de ces dispositifs durant des connexions ultérieures Cabinet Racine18

19 « s'agissant de la mise en place de système d'authentification en ligne, permettant d'accéder directement à un profil client et à des coordonnées bancaires ("portefeuille électronique"), les commerçants informent clairement leurs clients sur les risques induits par certains gestionnaires de mots de passe intégrés à des navigateurs internet et leur préciser la méthode permettant de désactiver ces systèmes » Cabinet Racine19

20 Sur la durée de conservation : les recommandations de la CNIL en 2003 « La Commission considère en conséquence que la durée de conservation d'un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de lutte contre la fraude au paiement du traitement mis en oeuvre conformément aux lois et règlement en vigueur » Cabinet Racine20

21 Le porteur doit-il donner son consentement exprès si le numéro de carte est conservé au-delà du temps nécessaire à la réalisation de la transaction ? Pour la CNIL, la réponse est OUI : TOUTE UTILISATION DU NUMERO DE CB DOIT FAIRE LOBJET DUNE INFORMATION COMPLETE ET CLAIRE DU PORTEUR Cabinet Racine21

22 Quid des traitements de profiling des comportements du porteur pouvant conduire au refus dune opération? ILS SONT SOUMIS A AUTORISATION DE LA CNIL Cabinet Racine22

23 PCI DSS et CNIL : en synthèse Les recommandations de la CNIL sont partiellement vieillies Pour certains points le standard PCI DSS va maintenant au delà Le respect du standard PCI DSS apparaît en tous cas comme un « must » pour ce qui concerne le respect de ses obligations CNIL par tout acteur concerné Attention toutefois aux points non couverts par le standard : notamment finalité, durée de conservation Cabinet Racine23

24 Vos commentaires et vos questions sont les bienvenus Cabinet Racine24


Télécharger ppt "PCI DSS Quels enjeux juridiques ? 2 juillet 2013 Isabelle Renard Docteur Ingénieur – Avocat Associée"

Présentations similaires


Annonces Google