Activité de surveillance dans le domaine des cartes de crédit

Les clauses de consentement relatives au traitement des données figurant sur les demandes de cartes de crédit soulèvent régulièrement des questions et des critiques de la population. Nous avons donc examiné plus en détail les formulations correspondantes des principaux éditeurs de cartes et les avons évaluées en fonction du traitement des données qu’elles impliquaient. Nous parvenons à la conclusion que ces clauses apparaissent pires à la lecture qu’elles ne le sont en réalité. Dans le but d’augmenter la transparence dans ce domaine, nous avons décidé d’élaborer des clauses standard minimales et de les mettre à disposition des émetteurs de cartes de crédit.

Au cours des années 2003 et 2004, nous avons reçu de plus en plus de demandes de la population concernant les formulations dans les conditions générales de vente (CG) ou dans les demandes de cartes de crédit. La plupart des demandes concernaient les clauses dans lesquelles le requérant donne son accord pour des traitements de données décrits plus ou moins précisément (clauses de consentement). Diverses personnes concernées ont trouvé que les formulations allaient très loin et étaient trop peu transparentes.

Au début de l’année 2004, nous avons décidé d’examiner les clauses de consentement des principaux émetteurs de cartes. La vérification a porté, d’une part, sur la clarté et l’intelligibilité des formulations, respectivement sur la mesure dans laquelle celles-ci assuraient la transparence. D’autre part, il s’agissait naturellement aussi de se demander quels traitements les clauses de consentement examinées devaient couvrir.

La première appréciation – fondée uniquement sur l’étude des clauses de consentement – s’est avérée négative. En effet, les formulations examinées ne donnent pas une idée claire des traitements prévus. Néanmoins, avec certains émetteurs de cartes, nous avons réussi à améliorer des formulations qui seront incluses (ou ont déjà été incluses) dans la prochaine édition des conditions générales. A elles seules, ces améliorations ne suffisent cependant pas à revoir notre appréciation.

Il faut admettre que nous ne sommes pas en mesure d’étudier en détail tous les traitements de données qui sont effectués dans le système de paiement des cartes de crédit. La raison est que ce système est très complexe puisqu’il implique un grand nombre d’acteurs et d’éléments d’infrastructure et qu’il s’étend au monde entier.

C'est pourquoi nous nous sommes concentrés sur les traitements de données que les émetteurs de cartes effectuent d’une part lors de l'émission de la carte, d’autre part lors de l’utilisation de la carte. La conclusion la plus importante qui résulte de nos analyses concerne la quantité et le niveau de détail des données que les émetteurs de cartes reçoivent à chaque transaction. Nos recherches ont révélé que pour la plupart des transactions, les détails relatifs aux biens et aux prestations de services ne sont pas transmis aux émetteurs de cartes. Par conséquent, les émetteurs de cartes ne sont pas en mesure d’explorer ces données détaillées au moyen de techniques de Data Mining. Il s’est avéré que les émetteurs de cartes ne reçoivent que les informations qui figurent également sur la facture adressée au détenteur de la carte. Concrètement, cela signifie que pour chaque transaction, ils reçoivent, en plus des données relatives à la carte de crédit, un triplet de données composé de la date, du montant et du point de vente. Du point de vue de la protection des données, on peut constater que la communication de données du point de vente qui a accepté la carte de crédit vers les émetteurs de cartes est proportionnée puisque ces derniers ne reçoivent que les données dont ils ont besoin pour s’acquitter de leur tâche. Dès lors, nous considérons les traitements de données effectués par les émetteurs de cartes de crédit dont nous avons eu connaissance dans le cadre de nos recherches comme étant compatibles avec la protection des données.

D’autres traitements de données qui devraient être couverts par des clauses de consentement sont effectués auprès de deux types de destinataires de données. Il s’agit d’une part de prestataires de services externes qui fournissent des prestations informatiques pour le compte des émetteurs de cartes de crédit, mais qui ne poursuivent aucun objectif propre avec ces traitements de données. Sur la base des déclarations faites par les émetteurs de cartes – des entreprises proches des banques – nous partons du principe que les émetteurs de cartes exigent de la part de leurs partenaires externes qu’ils signent les accords de confidentialité contractuellement requis. Il s’agit d’autre part des entreprises partenaires qui coopèrent avec les émetteurs de cartes dans le cadre de certains programmes de fidélisation ou de promotion. Ainsi, dans le cas des programmes de fidélisation pour grands voyageurs, les émetteurs de cartes affirment qu’ils ne communiquent aux partenaires que le montant cumulé qui permet à son tour de calculer le nombre de milles-bonis. Etant donné que cette communication de données est limitée aux strict nécessaire, elle peut être considérée comme proportionnée.

En ce qui concerne les formulations dans les CG, nous avons déjà réussi, en collaboration avec les émetteurs de cartes, à réaliser certaines améliorations. Nous avons également examiné comment la transparence des CG pouvait être améliorée. Pour éviter de rendre les conditions générales encore plus compliquées, nous avons décidé de rédiger une clause minimale standard selon les règles suivantes: la clause de consentement doit tout d’abord être aussi concise que possible, elle doit ensuite être bien compréhensible pour les détenteurs de cartes, et finalement elle doit être complète. Pour pouvoir satisfaire à ces conditions, d’une part cette clause ne contient pas les éléments qui sont couverts par la loi, tels que le traitement effectué pour le compte d’un tiers (externalisation ou outsourcing). D’autre part, la clause est également épurée des éléments qui paraissent évidents. Nous allons soumettre cette clause - avec un rapport explicatif - aux émetteurs de carte, afin qu’ils puissent prendre position avant que nous la publiions.

[Juillet 2006]

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activite/anciens-rapports/13e-rapport-d-activites-2005-2006/activite-de-surveillance-dans-le-domaine-des-cartes-de-credit.html