Comment devient-on prestataire "de confiance" ?

Le climat de confiance entre les cybermarchands et les internautes passe par le respect de la loi Informatique et libertés. L’e-commerce ne peut prospérer que dans la mesure où les cybermarchands sauront comment rassurer les internautes lorsqu’ils effectuent des achats.

Plusieurs prestataires proposent aux internautes d’acheter en toute sécurité en labellisant des sites internet de cybermarchands. Autrement dit, ils proposent plus de sécurité pour plus de confiance. De ce fait, le site du cybermarchand devient digne de confiance pour les internautes.
Parallèlement, ces prestataires développent des services permettant de rassurer les cybermarchands sur leurs cyberacheteurs. Encore faut-il qu'ils respectent dans la loi informatique et libertés dans le cadre de leur mission.
En effet, selon Le Monde, l’entreprise qui détecte les fraudes pour le compte des cybermarchands, Fia-net va faire l’objet d’une enquête menée par la CNIL ensuite d’une trentaine de plaintes déposées par des internautes. Il semblerait que FIA-Net n’efface pas les données malgré les requêtes des particuliers.
La société supposée défaillante FIA- net, a pour slogan de maintenir « un climat de confiance entre acheteurs et vendeurs sur internet », a cet effet, elle propose le service « Certissim » qui permettrait aux cybermarchands de sécuriser leurs ventes et de maîtriser les impayés en bénéficiant de l'évaluation automatique des commandes, du retraitement des commandes à risque, de l'assurance contre les impayés. Une de ces missions est de permettre aux e-commerçants de profiter d’une évaluation automatique des commandes des internautes, se faisant, elle intervient dans le traitement des données à caractère personnel de ces clients.
Or, ce traitement de données à caractère personnel est particulièrement sensible puisqu’il s’agit d’un traitement automatisé susceptible d’exclure le cyberacheteur du bénéfice d’un droit de commander sur le site du cybermarchand, et, qu’il permet la constitution de « liste noire » ou « black liste ».

C’est pourquoi, ce traitement de données doit présenter des garanties très fortes au titre de la loi Informatique et libertés et être soumis à l’autorisation préalable de la Cnil (article 25 de la loi Informatique et Libertés du 6 janvier 1978).
L’une des contraintes fortes que doit respecter Fia-Net serait ainsi la mise à jour de ce fichier « liste noire ». Selon le site internet de Fia-Net, cette société disposerait d’une base de données de 15 millions d'internautes. Fia-Net s’engage à mettre à jour quotidiennement cette base de données.
Or, un cyberacheteur a porté plainte contre Fia-Net du fait de l’entrave à son droit d’accès, de modification et de suppression de ses données à caractère personnel. Cette plainte signalerait que la base de données du prestataire ne serait pas conforme avec les dispositions de la loi Informatique et libertés. En effet, selon ce dernier, cela ferait plus de trois ans que ce cyberacheteur serait black listé et qu’« il ne peut plus acheter sur les sites qui font appel à Fia-Net, que ce soit pour des achats de 50 euros ou un frigo récemment » (propos recueillis par le Monde auprès de ce cyberacheteur). Cette plainte n’étant pas isolée, la Cnil procède, depuis l’an dernier à un contrôle de la société Fia-Net, dont l’offre Certissim est pourtant toujours en disponible en ligne sur le site de Fia-Net qui se défend de ne pas respecter la loi Informatique et libertés.
Dans l’attente des conclusions de la Cnil sur cette enquête, il faut rester vigilant car les contrôles pourraient s’étendre à d’autres prestataires de confiance mais également aux cybermarchands.
La mission de la Cnil étant notamment de rappeler aux acteurs de l’e-commerce qu’ils ne peuvent pas méconnaître la loi Informatique et libertés, qu’ils soient marchand ou prestataires.
Il est alors ardemment recommandé :
- d’une part, aux prestataires de confiance et de sécurité de mettre en place les processus garantissant l’effectivité du droit des personnes sur la mise à jour de leurs fichiers de données à caractère personnel, et, d’auditer les formalités préalables réalisées auprès de la Cnil et en particulier les demandes d’autorisation.
- d’autre part, à leurs clients de veiller à la fois à mettre leur site internet en conformité à la loi Informatique et libertés ainsi qu’à la loi pour la confiance dans l’économie numérique. En effet, pour rappel, la Cnil et la DGCCRF ont conclu des accords depuis janvier 2011 pour mettre en commun leurs ressources pour optimiser leurs opérations de contrôles et, à s’assurer que la loi Informatique et libertés est bien respectée lors de la mise en œuvre de leurs fichiers de données à caractère personnel.