Faisons simple ! Le contexte : l'un des problèmes rencontrés principalement par les cyber-marchands demeure la fraude à la carte bancaire, c'est à dire une utilisation par un internaute d'un numéro de carte bancaire sans que ce dernier ait l'autorisation du porteur de ladite carte bancaire. Cette utilisation est constitutive d'un acte d'escroquerie - ce que rappelle fréquemment les magistrats français en condamnant des internautes à des peines de prison avec sursis et au remboursement des cyber-marchands floués.
Dans l'imaginaire collectif, les numéros de cartes bancaires sont obtenus sur l'internet. Cela demeure excessivement rare (sauf pour des numéros étrangers) compte tenu du mécanisme français (absence de conservation par défaut du numéro par le cyber-marchand, etc.). En fait, la majorité des numéros de cartes bancaires utilisés frauduleusement provient d'une interception dans la vie "réelle" : numéro emprunté à papa ou maman, numéro intercepté auprès d'un centre d'appel téléphonique ou numéro inscrit sur la facturette conservée par le marchand (restaurant, etc.).
En effet, l'un des points "faibles" du dispositif demeure donc le monde physique, c'est à dire les lieux où les numéros de cartes bancaires peuvent être conservés. Le cas classique est l'hôtel et la CNIL vient de rappeler que ceux-ci ne doivent pas conserver ces données. Mieux, elle précise ceci :
La Commission insiste sur la nécessité d’effacer les données bancaires une fois la transaction réalisée, c’est-à-dire après le paiement effectif. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse de numéros de cartes bancaires. Seul le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées plus longtemps
En clair : suppression du numéro dès l'enregistrement de la transaction. Si l'on transpose ce principe à l'ensemble du secteur marchand, cela ouvre de belles possibilités. Ainsi, ça interdit dorénavant tous les marchands physiques d'entrer en possession du numéro de carte bancaire une fois que la transaction est enregistrée (ce qui est classiquement le cas lors d'un paiement par carte). Ainsi, la facturette du marchand où figure le numéro de carte bancaire, qui est classiquement conservée par ce dernier, doit faire l'objet d'une anonymisation !
Cela a toujours été refusé au motif que cette inscription en clair est destinée à permettre à un marchand de ressaisir les données bancaires de ses clients en cas de "plantage" de l'outil de paiement. Qu'en sera-t-il ? La CNIL va-t-elle aller jusqu'à imposer au GIE Cartes bancaires cette obligation d'anonymisation ? Affaire à suivre !