mardi 12 juin 2007

La CNIL fera-t-elle baisser la fraude à la carte bancaire

La Commission nationale à l'informatique et aux libertés a-t-elle perçu l'impact d'un de ses derniers communiqués faisant suite au contrôle d'un hôtelier qui conservait de manière "longue" (sur plus de 15 années) les données de ses clients ?

Faisons simple ! Le contexte : l'un des problèmes rencontrés principalement par les cyber-marchands demeure la fraude à la carte bancaire, c'est à dire une utilisation par un internaute d'un numéro de carte bancaire sans que ce dernier ait l'autorisation du porteur de ladite carte bancaire. Cette utilisation est constitutive d'un acte d'escroquerie - ce que rappelle fréquemment les magistrats français en condamnant des internautes à des peines de prison avec sursis et au remboursement des cyber-marchands floués.

Dans l'imaginaire collectif, les numéros de cartes bancaires sont obtenus sur l'internet. Cela demeure excessivement rare (sauf pour des numéros étrangers) compte tenu du mécanisme français (absence de conservation par défaut du numéro par le cyber-marchand, etc.). En fait, la majorité des numéros de cartes bancaires utilisés frauduleusement provient d'une interception dans la vie "réelle" : numéro emprunté à papa ou maman, numéro intercepté auprès d'un centre d'appel téléphonique ou numéro inscrit sur la facturette conservée par le marchand (restaurant, etc.).

En effet, l'un des points "faibles" du dispositif demeure donc le monde physique, c'est à dire les lieux où les numéros de cartes bancaires peuvent être conservés. Le cas classique est l'hôtel et la CNIL vient de rappeler que ceux-ci ne doivent pas conserver ces données. Mieux, elle précise ceci :

La Commission insiste sur la nécessité d’effacer les données bancaires une fois la transaction réalisée, c’est-à-dire après le paiement effectif. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse de numéros de cartes bancaires. Seul le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées plus longtemps


En clair : suppression du numéro dès l'enregistrement de la transaction. Si l'on transpose ce principe à l'ensemble du secteur marchand, cela ouvre de belles possibilités. Ainsi, ça interdit dorénavant tous les marchands physiques d'entrer en possession du numéro de carte bancaire une fois que la transaction est enregistrée (ce qui est classiquement le cas lors d'un paiement par carte). Ainsi, la facturette du marchand où figure le numéro de carte bancaire, qui est classiquement conservée par ce dernier, doit faire l'objet d'une anonymisation !

Cela a toujours été refusé au motif que cette inscription en clair est destinée à permettre à un marchand de ressaisir les données bancaires de ses clients en cas de "plantage" de l'outil de paiement. Qu'en sera-t-il ? La CNIL va-t-elle aller jusqu'à imposer au GIE Cartes bancaires cette obligation d'anonymisation ? Affaire à suivre !

lundi 11 juin 2007

Une plate-forme de commerce électronique peut-elle couper le compte d'un utilisateur ?

Telle est la question soulevée suite à une ordonnance de référé du Tribunal de commerce de Paris en date du 23 mai 2007 qui opposait les sociétés eBay Europe et eBay France à la société DWC.

Le site eBay avait, en effet, suspendu les divers comptes ouverts sur la plate-forme par la société DWC au motif que cette dernière commercialisait des produits non conformes de marque XSS. Mécontente de cette décision, la société DWC avait mis en demeure le site de courtage en ligne, avant de l'assigner pour obtenir la réactivation de ses comptes.

Les juges font droit à la demande. Ils relèvent que "il n'est pas démontré en quoi l'attitude de DWC dans l'utilisation du site eBay est susceptible de motiver une telle prévention à son égard alors qu'il n'est pas justifié de manquements qui lui soient imputables". Ainsi, à mon avis, les juges admettent la possibilité pour une plate-forme de commerce électronique de suspendre un compte d'un de ses utilisateurs dès lors que cette coupure se justifie par le comportement dudit utilisateur. La plate-forme devra au préalable obtenir le maximum d'éléments permettant de démontrer le comportement incriminé, ce qui semble faire défaut en l'espèce. En effet, et concernant le présent contentieux, le jugement demeure silencieux sur les faits critiqués et les éléments apportés par la plate-forme de commerce électronique.

Ce "droit de police" se rapproche ainsi de celui que la Cour d'appel de Paris avait admis au bénéfice des animateurs d'un forum de discussion qui pouvaient, sur la base d'une charte d'utilisation, procéder à la suspension d'un utilisateur.

A noter que le tribunal de commerce a ordonné sous astreinte la réouverture des comptes dès lors que cette mesure porte une "atteinte certaine à la pérennité de DWC qui est ainsi empêchée d'exercer son activité de vente à distance et dont la crédibilité peut être affectée auprès des utilisateurs".

Cette explication est intéressante. Elle semble reconnaître un réel impact au déréférencement d'un internaute d'une plate-forme de commerce électronique alors que cette mesure ne l'empêche pas matériellement de continuer à exercer son activité de vente à distance (il peut s'inscrire sur une autre plate-forme et/ou avoir son propre site mais le bénéfice risque alors d'être moindre). Cette position pourrait être mise en parallèle avec l'analyse opérée voici quelques temps par le Conseil de la concurrence en matière de ventes de produits cosmétiques relevant de réseaux de distribution sélective via des plates-formes de commerce électronique.

Mais pour l'heure, ne nous précipitons pas ! Attendons la décision au fond ou l'arrêt d'appel.

Décision disponible sur la Gazette du Net et sur Juriscom.net.

Il faut s'y remettre !

Tiens, l'auteur du présent blog aurait-il été traumatisé par les dernières élections présidentielles. On avait l'impression qu'il était bloqué sur ce 22 avril ! Mais non, rassurez-vous, le travail intense ne m'a pas permis de garder la belle régularité à laquelle j'essaye de m'astreindre ! Pourtant beaucoup de choses se sont passées. Allez, reprenons le fil du blog sur le e-commerce.