Parallèlement aux travaux
engagés par le GIE Cartes Bancaires pour sécuriser
les paiements en ligne, la Commission Nationale Informatique
et Liberté (CNIL) a adopté une recommandation relative
à la conservation du numéro de carte bancaire
dans le secteur de la vente à distance.
"Cette
recommandation fait suite à une vaste concertation
avec les principales fédérations professionnelles,
explique Guillaume Desgens, attaché au poste
financier de la direction juridique de la CNIL. Nous
avons également lancé au cours de la fête
de l'Internet un appel à contributions en ligne
dans le but de recueillir les témoignages des
internautes concernant la conservation et l'utilisation
de leur numéro de carte bancaire en vente à distance."
(lire l'encadré)
Cette
nouvelle recommandation de la Commission n'a pas valeur
d'obligation. Son objectif est plutôt de rappeler
le contenu des lois et de préciser les garanties
minimales que les professionnels de la vente à
distance doivent respecter lors du recueil et du stockage
du numéro de carte bancaire.
La CNIL rappelle que la
finalité première de la collecte et la
conservation du numéro de carte bancaire est
la réalisation d'une transaction. Dans ce cadre,
la conservation du numéros de carte bancaire
ne doit pas excéder celle nécessaire à
la réalisation complète de la transaction,
les ruptures de stock étant prises en compte
dans le calcul de ce délai.
La CNIL constate malgré
tout que les numéros de cartes bancaires sont
également conservés et utilisés
par les VADistes comme un outil d'authentification à
des fins commerciales (création d'un profil pour
l'achat en un clic, réservation par téléphone)
ou de lutte contre la fraude.
Dans le premier cas, la
CNIL recommande que la conservation du numéro
de carte bancaire soit subordonnée au recueil
du consentement de l'internaute, sans toutefois mentionner
les modalités de collecte de cette information.
"Cette procédure a déjà été
mise en place par quelques sites, comme Lastminute.com,
et s'effectue simplement en cochant un case", indique
Guillaume Desgens. Les
internautes doivent pouvoir avoir accès, à
tout moment, à leur profil et supprimer, s'ils
le souhaitent, leurs coordonnées bancaires.
La CNIL estime également
qu'il est légitime pour les marchands de conserver
le numéro de carte bancaire dans le cadre de
la lutte contre la fraude. Mais cette procédure
doit respecter certaines règles. La première
d'entre elles est la déclaration de ce fichier
à la Commission. Si aujourd'hui, la CNIL ne peut
refuser son autorisation à la mise en place d'un
tel fichier, il en ira certainement autrement début
2004. Le projet de loi modifiant la Loi Informatique
et Liberté devrait en effet autoriser la Commission
à étudier chaque demande de création
de fichier et à statuer au cas par cas.
En attendant, la CNIL recommande
que l'utilisation des numéros de cartes bancaires
pour lutter contre la fraude soit subordonnée
à une information claire auprès des personnes
fichées. Ces dernières doivent avoir la
possibilité de s'opposer à ce stockage.
La conservation du numéro
de carte bancaire comportant un risque en terme de sécurité,
la Commission encourage les marchands au cryptage des
données. Par ailleurs, dans la perspective de
l'obligation faite aux e-commerçants de collecter
à partir du 1er janvier prochain le cryptogramme
visuel des cartes bancaires, la CNIL recommande aux
marchands de ne pas mémoriser de nouveau numéro.
La Commission rappelle
que l'obligation de payer par carte bancaire sur certain
site peut être considéré comme une
clause abusive. En tant que telle, les e-commerçants
doivent promouvoir l'utilisation de moyens de paiement
alternatifs sécurisés, garantissant l'anonymat
des paiements.
Autant de recommandations
dont l'objectif ultime est, tout comme le plan du GIE
Carte Bancaire, de renforcer la confiance des internautes
dans le commerce en ligne. Un objectif également
poursuivi par l'Observatoire de la sécurité
des cartes de paiement institué en octobre dernier
et dont la gestion a été confié
à la Banque de France. Prévu par la loi
du 15 novembre 2001 sur la sécurité quotidienne,
l'Observatoire a pour tâche d'assurer le suivi
des mesures de sécurisation mises en oeuvre et
d'entreprendre une veille technologique pour lutter
contre la fraude.
Les
internautes et leur carte bancaire
|
Pour établir cette
série de recommandations, la CNIL a recueilli
2 300 témoignages d'internautes lors de
son enquête en ligne sur la conservation
et l'utilisation du numéro de carte bancaire.
88 % des internautes ont déclaré
acheter en ligne régulièrement ou
de temps en temps, 80 % payant par carte
bancaire. Une majorité d'entre eux (59 %)
considèrent que les mentions sur le niveau
de sécurité mis en oeuvre par les
sites de e-commerce demeurent insuffisantes. 75
% ne souhaitent pas que leurs coordonnées
bancaires soient
utilisées pour d'autres fin que le paiement
en ligne et 71 % souhaiteraient pouvoir donner
leur accord préalable à la conservation
de leur numéro de carte bancaire.
|
|