La CNIL établit de nouvelles règles pour l'utilisation de la carte bancaire à distance

Alors que la Banque Centrale Européenne vient de publier un rapport selon lequel les cas de fraude à la carte bancaire lors d'achats à distance ont explosé en 2012, la CNIL a adopté de nouvelles recommandations concernant l'usage des cartes de paiement dans le cadre de telles transactions.

Ces recommandations de la CNIL de février 2014, adoptées après consultation de la Banque de France, du Groupement des cartes bancaires, des représentants d'associations de consommateurs et des acteurs de la vente à distance, sont destinées à remplacer de précédentes règles établies il y a plus de dix ans, en 2003. Une éternité à l'échelle d'Internet : à cette époque, les achats sur le réseau étaient encore relativement peu développés, surtout par rapport au volume actuel du commerce électronique, qui a progressé de près de 20 % sur la seule année 2012 par rapport à 2011. Il était donc temps de mettre à jour ces règles de prudence, qui s'appliquent à toutes les cartes de paiement (interbancaires, accréditives ou privatives).
La CNIL rappelle ainsi une règle d'évidence, que d'aucuns, imprudents, n'ont peut-être pas encore bien intégrée : le numéro de carte bancaire ne peut être utilisé par un commerçant que pour répondre à la nécessité de réaliser une transaction.
Ainsi, et notamment, il ne peut jamais servir comme identifiant sur un site internet. Ce numéro ne sera utilisé en pratique que pour réserver ou payer un produit ou un service, cas le plus classique, voire à créer un compte de paiement. Dans ce dernier cas, il est donc admis que le numéro de la carte bancaire puisse être conservé par le commerçant, sous réserve toutefois que le client ait expressément et préalablement donné son consentement à cette fin.
En d'autres termes, le marchand n'a pas le droit de conserver ces données bancaires sur sa seule initiative. Pour qu'il puisse le faire, le client doit l'y avoir autorisé de manière dénuée de toute ambiguïté. En pratique, le client devra donc cocher une case dédiée à cet effet : une simple mention figurant dans les conditions générales de vente du cybercommerçant n'est pas suffisante.
Par ailleurs, ces données ne peuvent être conservées que tant que le client n'a pas décidé de s'y opposer. Quiconque doit pouvoir, ultérieurement et à tout moment, demander que son numéro de carte bancaire soit effacé. Il faut rappeler à cet égard que la conservation des informations de la carte bancaire par le commerçant est risquée, car un tiers pourrait éventuellement avoir accès au numéro de la carte bancaire et à sa date de validité, pour ensuite les réutiliser. Les sites marchands doivent donc conserver ces données sous forme cryptée et protéger leurs serveurs informatiques sur lesquels elles sont stockées.
Dans le cadre d'une transaction sur internet, seules certaines informations peuvent être collectées par le marchand, à savoir le numéro de la carte bancaire, sa date d'expiration et le cryptogramme visuel, c'est-à-dire la suite de trois ou quatre chiffres placés au recto ou au verso de la carte, selon le fournisseur de la carte. La CNIL rappelle qu'en aucun cas un cybermarchand ne peut demander à un client de lui transmettre une copie de la carte, même si certaines informations sont masquées.
La fourniture d'une telle copie pourrait en effet favoriser les cas de falsification.
Enfin, la CNIL formule certaines recommandations destinées à renforcer la sécurité des transactions sur internet, ce qui n'est pas inutile au vu de l'augmentation des cas de fraude à la carte bancaire lors d'achats à distance. En effet, selon les chiffres de la Banque Centrale Européenne, 60 % des escroqueries à la carte bancaire en 2012 auraient été le fait de paiements postaux, par téléphone ou sur internet.
Ainsi, la CNIL recommande notamment que les données relatives à la carte de paiement ne soient pas conservées sur le terminal des clients dans la mesure où ces terminaux ne sont pas conçus pour assurer la sécurité des données bancaires. Il est vrai qu'en cas de vol d'un terminal (en particulier un smartphone), il est alors facile pour le voleur de faire des achats si les coordonnées bancaires sont présentes au sein d'une application, par exemple. La CNIL ne formule aucune obligation de mettre en place un système de paiement sécurisé (comme 3D Secure, qui passe par l'envoi d'un code sur le téléphone mobile), mais les clients privilégieront d'eux-mêmes ce type de solution.
Par ailleurs, la CNIL demande à ce que lorsqu'un achat est réalisé par téléphone, le client puisse éviter d'avoir à donner son numéro de carte bancaire à l'oral. Une solution alternative sécurisée, gratuite pour le client, doit alors être proposée. On imagine que le marchand pourrait alors mettre à la disposition de l'acheteur un moyen de paiement en ligne. Mais si le client utilise le téléphone, n'est-ce pas parce qu'il n'a pas internet ? La question reste posée.
En somme, ces recommandations de bon sens devraient être intégrées tant par les clients que par les marchands, afin de limiter les cas de fraude à la carte bancaire. Comme dans tant d'autres domaines, le risque zéro n'existe pas. Tant qu'il sera possible, par exemple, de générer de faux numéros de carte ou de récupérer des numéros au distributeur de billets, les malversations seront permises. Nul besoin également de rappeler qu'il vaut mieux n'utiliser sa carte bancaire que sur des sites de confiance…

Serveurs / Réseau