mardi 12 juin 2007

La CNIL fera-t-elle baisser la fraude à la carte bancaire

La Commission nationale à l'informatique et aux libertés a-t-elle perçu l'impact d'un de ses derniers communiqués faisant suite au contrôle d'un hôtelier qui conservait de manière "longue" (sur plus de 15 années) les données de ses clients ?

Faisons simple ! Le contexte : l'un des problèmes rencontrés principalement par les cyber-marchands demeure la fraude à la carte bancaire, c'est à dire une utilisation par un internaute d'un numéro de carte bancaire sans que ce dernier ait l'autorisation du porteur de ladite carte bancaire. Cette utilisation est constitutive d'un acte d'escroquerie - ce que rappelle fréquemment les magistrats français en condamnant des internautes à des peines de prison avec sursis et au remboursement des cyber-marchands floués.

Dans l'imaginaire collectif, les numéros de cartes bancaires sont obtenus sur l'internet. Cela demeure excessivement rare (sauf pour des numéros étrangers) compte tenu du mécanisme français (absence de conservation par défaut du numéro par le cyber-marchand, etc.). En fait, la majorité des numéros de cartes bancaires utilisés frauduleusement provient d'une interception dans la vie "réelle" : numéro emprunté à papa ou maman, numéro intercepté auprès d'un centre d'appel téléphonique ou numéro inscrit sur la facturette conservée par le marchand (restaurant, etc.).

En effet, l'un des points "faibles" du dispositif demeure donc le monde physique, c'est à dire les lieux où les numéros de cartes bancaires peuvent être conservés. Le cas classique est l'hôtel et la CNIL vient de rappeler que ceux-ci ne doivent pas conserver ces données. Mieux, elle précise ceci :

La Commission insiste sur la nécessité d’effacer les données bancaires une fois la transaction réalisée, c’est-à-dire après le paiement effectif. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse de numéros de cartes bancaires. Seul le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées plus longtemps


En clair : suppression du numéro dès l'enregistrement de la transaction. Si l'on transpose ce principe à l'ensemble du secteur marchand, cela ouvre de belles possibilités. Ainsi, ça interdit dorénavant tous les marchands physiques d'entrer en possession du numéro de carte bancaire une fois que la transaction est enregistrée (ce qui est classiquement le cas lors d'un paiement par carte). Ainsi, la facturette du marchand où figure le numéro de carte bancaire, qui est classiquement conservée par ce dernier, doit faire l'objet d'une anonymisation !

Cela a toujours été refusé au motif que cette inscription en clair est destinée à permettre à un marchand de ressaisir les données bancaires de ses clients en cas de "plantage" de l'outil de paiement. Qu'en sera-t-il ? La CNIL va-t-elle aller jusqu'à imposer au GIE Cartes bancaires cette obligation d'anonymisation ? Affaire à suivre !

4 commentaires:

David a dit…

Nous n'avons pas attendu la CNIL... puisque pour la plupart des emarchands français, nous passons par un prestataire bancaire qui s'occupe de gérer toute la transation bancaire.

Du coup, nous ne gardons pas traces des coordonnées bancaires de nos clients. Cela rassure nos clients et cela surtout nous rassure car au moins en cas de piratage, ce type d'information n'est pas récupérable sur nos sites.

C'est l'affaire de notre prestaire bancaire dont la mission principale est d'assurer la confidentialité et la sécurité de la transaction.

Il reste cependant des acteurs (notamment amazon) qui conservent ce type de coordoonées pour simplifier l'achat auprès du client. A tort ou à raison...

david LEFOYE a dit…

Je suis correspondant CNIL pour ma boite et j'essaye de suivre un minimum ce qui se passe mais j'avoue que là, je suis passé à côté. Effectivement, l'affaire est à suivre : va-t-on trouver comment conserver une trace de quelque chose sans conserver le numéro de CB, pas facile et pas gagner si les commercants doivent se plier à la règle et suivre cette disposition.

Par contre, j'adhère complètement à la remarque concernant "l'imaginaire collectif", je milite quotidennement pour expliquer aux réticents que je rencontre que c'est pas plus dangereux que le minitel à son époque car là aussi avec une carte volée, on pouvait faire des dégâts sur un compte...mais à l'époque, il n'y avait pas internet pour en parler !
Et qu'effectivement, le vrai danger réside dans le fait de se faire subtiliser sa carte ou son numéro.

F.B. a dit…

Très intéressant. Par contre, je suis moi même commerçant : nous conservons comme tous les facturettes CB sur lesquelles se trouvent en effet l'intégralité du n° de CB. Mais sur ces facturettes, la date d'expiration n'apparait pas, et bien entendu le famxu cryptogtamme à 3 chiffres au dos de la CB n'apparait pas non plus, indispensables pour effectuer des achats sur les sites marchands du web. Autre précision : le GIE des cartes bancaires demande parfois aux commerçants, plusieurs semaines, voire plusieurs mois après la transaction (cela m'est arrivé), de leur envoyer une copie de la facturette commerçant (donc avec le n° de CB intégral) en notre possession. Si nous ne le faisons pas, notre banque nous débite le montant intégral de la transaction. Cela arrive entre autres dans les cas de soupçons d'utilisation frauduleuse, ou lorsque le client conteste auprès de sa banque la transaction concernée. C'est aussi pour celà que tous les commerçants conservent en archive les facturettes CB.

Frédéric Klotz - RueDuCommerce a dit…

Bonjour,

En effet, cette position est très problématique

La plupart des cybercommerçants sérieux, comme RueDuCommerce qui en fut le précurseur en France, proposent un débit de la carte bancaire à l'expédition de la commande

Une telle pratique consisterait à renoncer à cette avancée en faveur du consommateur puisque le cybercommerçant conserve pour prélever le paiement non pas une donnée sensible comme le numéro de la carte mais un code d'autorisation donné par la propre banque du vendeur.

A méditer, donc.

Cordialement,

Frédéric Klotz
Responsable Qualité
RueDuCommerce