Malgré les nombreuses alertes, les sites de e-commerce ne semblent toujours pas vouloir placer la sécurité parmi leurs priorités. Depuis bientôt un an, l'association loi 1901 "Web Trust France", regroupant la Compagnie nationale des commissaires aux comptes et l'Ordre des experts comptables, fait la promotion en France de la norme internationale de certification de sites "Web Trust". Pourtant, douze mois après, aucun site français n'a reçu de certification là où Thierry Trompette, le président de l'association, évoquait un objectif d'une centaine de sites certifiés à la fin de l'année 2000 (Lire l'article du Jdnet du 13/01/00). Ce dernier, également président de la Commission informatique de la compagnie nationale des commissaires aux comptes, explique les raisons de ce surprenant décalage :

"Pour le moment, faute de pouvoir répondre à nos critères, aucun site de e-commerce français n'a reçu l'accréditation Web Trust. Les fêtes de fin d'année ont mobilisé toutes les énergies sur les aspects commerciaux au détriment des aspects sécurité et logistiques. L'un des plus importants sites en France parmi lequel un audit a été réalisé comportait encore environ 15% de points non conformes aux critères de Web Trust avant les fêtes". Parmi les failles les plus courantes figurent les problèmes de logistique liés principalement à la livraison. Beaucoup de sites ne sont pas en mesure de répondre à une demande lors des grands rush. "Là encore, poursuit Thierry Trompette, le ratio est déséquilibré entre la rentabilité et les moyens mis en œuvre pour satisfaire les clients. Pour le moment, les sites gagnent peu, tout en prenant de gros risques en ce qui concerne la qualité de leurs services".

Plus inquiétant encore, beaucoup de sites n'ont pas un niveau de sécurité adapté aux informations qu'ils font transiter : "Aujourd'hui, la plupart des sites de e-commerce disposent d'outils de cryptage efficaces, généralement SSL, qui permettent d'assurer la sécurité des données entre l'internaute et leur serveur. Les problèmes interviennent après. Souvent, une fois le numéro de carte reçu, ce dernier circule en clair sur le serveur web de l'entreprise. Beaucoup de sites ne sont pas en mesure d'assurer la sécurité sur toute la chaîne de transaction. D'ailleurs, beaucoup d'entres eux sous-traitent ces aspects et s'en remettent à des prestataires extérieurs, si bien qu'ils ne savent pas eux-mêmes où l'information se trouve et qui peut y avoir accès".

Il est vrai que la sécurité à un coût. L'investissement nécessaire à l'obtention d'un certificat Web Trust représenterait environ 6% du coût global (conception et communication) du lancement d'un site. Pour cette raison, de nombreux cabinets d'audit et de conseil proposent des alternatives de labellisation plus ou moins fiables, en risquant d'aggraver la confusion qui existe déjà dans l'esprit des cyber-consommateurs. Jean-Luc Barlet, responsable du département e-business du cabinet de conseil Mazars & Guérard, justifie cette position : "Nous proposons actuellement deux certifications à nos clients, le label Web Trust et WebCert. Nous ne souhaitons pas travailler de façon exclusive puisque nous ne savons pas quel label sera finalement retenu par le consommateur. La loi du marché imposera son choix. En revanche, il est vrai que nous promouvons en priorité le label de Web Trust sachant qu'il est plus exhaustif que les autres".

"Nous ne pouvons pas interdire à un cabinet d'audit de créer son propre certificat, conclut Thierry Trompette. A notre niveau, notre association étant à but non lucratif, notre objectif principal est avant tout de sensibiliser les sociétés de e-commerce et de valoriser une qualité d'audit". Certains labels semblent en effet n'exister que pour montrer une icône visant à rassurer l'internaute sans réellement garantir la protection de ses données personnelles. Un exemple parmi d'autres : le label américain TRUST-e, qui a certifié plus de 800 sites dans le monde (dont Microsoft et IBM), est accordé à la seule condition que l'entreprise fasse une déclaration sur l'honneur en terme de respect des critères de sécurité. Dans ce cas, l'audit se fait à distance sans passer "derrière l'écran", le label étant retiré lorsqu'il y a trop de plaintes de consommateurs.