Download
pci dss quels enjeux juridiques n.
Skip this Video
Loading SlideShow in 5 Seconds..
PCI DSS Quels enjeux juridiques ? PowerPoint Presentation
Download Presentation
PCI DSS Quels enjeux juridiques ?

PCI DSS Quels enjeux juridiques ?

105 Vues Download Presentation
Télécharger la présentation

PCI DSS Quels enjeux juridiques ?

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. PCI DSSQuels enjeux juridiques ? 2 juillet2013 Isabelle Renard Docteur Ingénieur – Avocat Associée irenard@racine.eu

  2. - Sommaire - • PCI DSS : quel positionnement vis-à-vis du droit ? • PCI DSS et protection des données personnelles Cabinet Racine

  3. PCI DSS Quel positionnement vis-à-vis du droit ? Cabinet Racine

  4. PCI DSS n’est pas une obligation légale • PCI DSS est un standard « auto proclamé » élaboré par une organisation américaine • Le respect des standards PCI DSS ne fait l’objet d’aucune obligation légale • Mais les standards PCI DSS sont reconnus comme des « standards de fait » et ils sont imposés contractuellement par les grands réseaux de carte bancaire Cabinet Racine

  5. Quel impact juridique ? • Même si ce n’est pas une obligation légale, la reconnaissance de PCI DSS comme standard de fait à un impact fort • Pourquoi ? Cabinet Racine

  6. En droit, dans un domaine technique, le professionnel dont le produit/service a causé un dommage peut s’exonérer s’ii peut démontrer quece produit/service est conforme à l’ « état de l’art » • Un standard de fait est généralement considéré comme un « état de l’art » • Dans notre cas : les conséquences d’un dommage causé par une faille de sécurité pourraient être atténuées si l’acteur concerné est conforme au standard PCI DSS Cabinet Racine

  7. Limite de l’exercice…. • La « jurisprudence AZF » = l’excès de la « norme alibi » • La conformité à la norme ne doit pas empêcher le professionnel de mettre en œuvre les mesures qui s’imposent, même si elles ne sont pas prévues par la norme Cabinet Racine

  8. PCI DSS Et Protection des données personnelles Cabinet Racine

  9. Quel cadre juridique? • La Loi Informatique et liberté (n°78-17 du 6 janvier 1078) • La recommandation CNIL du 19 juin 2003 • Le futur règlement européen sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel Cabinet Racine

  10. En France, aucune obligation de la Loi Informatique et Libertés ne mentionne expressément PCI DSS • La CNIL n’y fait pas non plus directement allusion sur son site • Mais le respect du standard est un des éléments de conformité avec les obligations de la Loi Informatique et Libertés Cabinet Racine

  11. La finalité du traitement des numéros de carte bancaire • Qui est tenu de la déclaration à la CNIL ? Tout acteur qui collecte/traite les numéros de carte Cabinet Racine

  12. La sécurité des traitements : une obligation juridique fondamentale La sécurité des traitements est une OBLIGATION FONDAMENTALE de la Loi Informatique et Libertés (article 34) : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » Cabinet Racine

  13. ARTICLE 226-17 CODE PENAL : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende » Cabinet Racine

  14. Sur la sécurité : les recommandations de la CNIL en 2003 : « Les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l'état de l'art et à la réglementation applicable » Cabinet Racine

  15. « les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients » Cabinet Racine

  16. « S'agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s'assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l'écran des salariés habilités (seuls les 5 derniers chiffres restent apparents). Le personnel devrait être sensibilisé aux risques de fraudes existant en la matière » Cabinet Racine

  17. « dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée » Cabinet Racine

  18. « les responsables de traitements portent une attention particulière aux risques qu'il y aurait à mémoriser le numéro de carte bancaire dans l'ordinateur personnel du client, en particulier par l'intermédiaire de cookies ou fichiers log. Dans une telle situation, et conformément aux dispositions prévues par la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, les individus doivent être informés de la mise en oeuvre de dispositifs techniques sur leur ordinateur et doivent disposer de la possibilité de s'opposer à la mise en oeuvre de tels dispositifs. L'exercice du droit d'opposition devrait pouvoir couvrir les utilisations futures qui pourraient être faites de ces dispositifs durant des connexions ultérieures Cabinet Racine

  19. « s'agissant de la mise en place de système d'authentification en ligne, permettant d'accéder directement à un profil client et à des coordonnées bancaires ("portefeuille électronique"), les commerçants informent clairement leurs clients sur les risques induits par certains gestionnaires de mots de passe intégrés à des navigateurs internet et leur préciser la méthode permettant de désactiver ces systèmes » Cabinet Racine

  20. Sur la durée de conservation : les recommandations de la CNIL en 2003 « La Commission considère en conséquence que la durée de conservation d'un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la finalité de lutte contre la fraude au paiement du traitement mis en oeuvre conformément aux lois et règlement en vigueur » Cabinet Racine

  21. Le porteur doit-il donner son consentement exprès si le numéro de carte est conservé au-delà du temps nécessaire à la réalisation de la transaction ? Pour la CNIL, la réponse est OUI : TOUTE UTILISATION DU NUMERO DE CB DOIT FAIRE L’OBJET D’UNE INFORMATION COMPLETE ET CLAIRE DU PORTEUR Cabinet Racine

  22. Quid des traitements de profiling des comportements du porteur pouvant conduire au refus d’une opération? ILS SONT SOUMIS A AUTORISATION DE LA CNIL Cabinet Racine

  23. PCI DSS et CNIL : en synthèse • Les recommandations de la CNIL sont partiellement vieillies • Pour certains points le standard PCI DSS va maintenant au delà • Le respect du standard PCI DSS apparaît en tous cas comme un « must » pour ce qui concerne le respect de ses obligations CNIL par tout acteur concerné • Attention toutefois aux points non couverts par le standard : notamment finalité, durée de conservation Cabinet Racine

  24. Vos commentaires et vos questions sont les bienvenus Cabinet Racine