PCI DSS Quels enjeux juridiques ? 2 juillet 2013 Isabelle Renard Docteur Ingénieur – Avocat Associée irenard@racine.eu
PCI DSS : quel positionnement vis-à-vis du droit ? - Sommaire - PCI DSS : quel positionnement vis-à-vis du droit ? PCI DSS et protection des données personnelles Cabinet Racine
PCI DSS Quel positionnement vis-à-vis du droit ? Cabinet Racine
PCI DSS n’est pas une obligation légale PCI DSS est un standard « auto proclamé » élaboré par une organisation américaine Le respect des standards PCI DSS ne fait l’objet d’aucune obligation légale Mais les standards PCI DSS sont reconnus comme des « standards de fait » et ils sont imposés contractuellement par les grands réseaux de carte bancaire Cabinet Racine
Quel impact juridique ? Même si ce n’est pas une obligation légale, la reconnaissance de PCI DSS comme standard de fait à un impact fort Pourquoi ? Cabinet Racine
En droit, dans un domaine technique, le professionnel dont le produit/service a causé un dommage peut s’exonérer s’ii peut démontrer qu ece produit/service est conforme à l’ « état de l’art » Un standard de fait est généralement considéré comme un « état de l’art » Dans notre cas : les conséquences d’un dommage causé par une faille de sécurité pourraient être atténuées si l’acteur concerné est conforme au standard PCI DSS Cabinet Racine
Limite de l’exercice…. La « jurisprudence AZF » = l’excès de la « norme alibi » La conformité à la norme ne doit pas empêcher le professionnel de mettre en œuvre les mesures qui s’imposent, même si elles ne sont pas prévues par la norme Cabinet Racine
PCI DSS Et Protection des données personnelles Cabinet Racine
Quel cadre juridique? La Loi Informatique et liberté (n°78-17 du 6 janvier 1078) La recommandation CNIL du 19 juin 2003 Le futur règlement européen sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel Cabinet Racine
La CNIL n’y fait pas non plus directement allusion sur son site En France, aucune obligation de la Loi Informatique et Libertés ne mentionne expressément PCI DSS La CNIL n’y fait pas non plus directement allusion sur son site Mais le respect du standard est un des éléments de conformité avec les obligations de la Loi Informatique et Libertés Cabinet Racine
La finalité du traitement des numéros de carte bancaire Qui est tenu de la déclaration à la CNIL ? Tout acteur qui collecte/traite les numéros de carte Cabinet Racine
La sécurité des traitements : une obligation juridique fondamentale La sécurité des traitements est une OBLIGATION FONDAMENTALE de la Loi Informatique et Libertés (article 34) : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » Cabinet Racine
ARTICLE 226-17 CODE PENAL : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende » Cabinet Racine
Sur la sécurité : les recommandations de la CNIL en 2003 : « Les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l'état de l'art et à la réglementation applicable » Cabinet Racine
« les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients » Cabinet Racine
« S'agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s'assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l'écran des salariés habilités (seuls les 5 derniers chiffres restent apparents). Le personnel devrait être sensibilisé aux risques de fraudes existant en la matière » Cabinet Racine
« dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée » Cabinet Racine
« les responsables de traitements portent une attention particulière aux risques qu'il y aurait à mémoriser le numéro de carte bancaire dans l'ordinateur personnel du client, en particulier par l'intermédiaire de cookies ou fichiers log. Dans une telle situation, et conformément aux dispositions prévues par la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, les individus doivent être informés de la mise en oeuvre de dispositifs techniques sur leur ordinateur et doivent disposer de la possibilité de s'opposer à la mise en oeuvre de tels dispositifs. L'exercice du droit d'opposition devrait pouvoir couvrir les utilisations futures qui pourraient être faites de ces dispositifs durant des connexions ultérieures Cabinet Racine
« s'agissant de la mise en place de système d'authentification en ligne, permettant d'accéder directement à un profil client et à des coordonnées bancaires ("portefeuille électronique"), les commerçants informent clairement leurs clients sur les risques induits par certains gestionnaires de mots de passe intégrés à des navigateurs internet et leur préciser la méthode permettant de désactiver ces systèmes » Cabinet Racine
Sur la durée de conservation : les recommandations de la CNIL en 2003 « La Commission considère en conséquence que la durée de conservation d'un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de lutte contre la fraude au paiement du traitement mis en oeuvre conformément aux lois et règlement en vigueur » Cabinet Racine
Le porteur doit-il donner son consentement exprès si le numéro de carte est conservé au-delà du temps nécessaire à la réalisation de la transaction ? Pour la CNIL, la réponse est OUI : TOUTE UTILISATION DU NUMERO DE CB DOIT FAIRE L’OBJET D’UNE INFORMATION COMPLETE ET CLAIRE DU PORTEUR Cabinet Racine
Quid des traitements de profiling des comportements du porteur pouvant conduire au refus d’une opération? ILS SONT SOUMIS A AUTORISATION DE LA CNIL Cabinet Racine
PCI DSS et CNIL : en synthèse Les recommandations de la CNIL sont partiellement vieillies Pour certains points le standard PCI DSS va maintenant au delà Le respect du standard PCI DSS apparaît en tous cas comme un « must » pour ce qui concerne le respect de ses obligations CNIL par tout acteur concerné Attention toutefois aux points non couverts par le standard : notamment finalité, durée de conservation Cabinet Racine
Vos commentaires et vos questions sont les bienvenus Cabinet Racine