E-commerce : Les nouvelles règles de la CNIL pour le cartes bancaires

shoppingOn dirait presque une réponse à l’alerte, lancée par le récent rapport de la banque Centrale Européenne, quant aux chiffres explosifs en 2012 des cas de fraudes à la carte bancaire, consécutives à l’achat à distance. La CNIL vient d’établir une armada de nouvelles règles dont la finalité est de consolider la sécurité en matière d’utilisation de la carte bancaire à distance.

Cela faisait plus de dix ans, depuis 2003, que les règles en vigueur stagnaient,  « a lifetime » vu la vitesse de l’évolution des pratiques sur le web. Après de longues concertations avec les différents acteurs de la sécurité des données informatiques des internautes, y compris la Banque de France, le Groupement des cartes bancaires, les porte-paroles des associations solidaires du consommateur et autres partenaires du développement du e-commerce, la CNIL (Commission Nationale de l’Informatique et des Libertés) affiche ses nouvelles recommandations relatives à l’usage de la carte bancaire.

Le commerce électronique a en effet augmenté sa présence sur le web avec, pour une idée vague, un saut d’un cinquième du volume des transactions enregistrées rien qu’en la seule année de 2012 par rapport à sa précédente. Ainsi, la CNIIL met le doigt sur la remarque, que beaucoup on ignorée malgré sa flagrante évidence, que le numéro d’une carte bancaire ne doit être réclamé sur un site marchand que pour l’unique finalité de réserver ou payer un article donné et que, par la suite, le e-commerçant ne peut s’arroger le droit de garder les données de l’utilisateur.

Est exclu de cette recommandation le cas dans lequel un utilisateur s’inscrit sur un compte de paiement, sous réserve toutefois qu’il soit explicitement  informé que ses données vont effectivement être sauvegardées, ce qui est dorénavant le cas de toutes les transactions, à l’aide d’une case à cocher claire. La seule inclusion  d’une clause, dans les conditions générales de vente, prévenant l’utilisateur de ce fait n’est plus suffisante. D’ailleurs, même dans le cas de création d’un compte de paiement, les données ne peuvent être gardées que tant que l’utilisateur n’a pas formulé son désaccord ; il peut dès lors, à tout moment,  exiger la suppression de ses données.

Par ailleurs, la CNIL ramène les informations requises dans le cas d’une transaction à trois : le numéro de la carte bancaire, sa date d’expiration et le cryptogramme visuel (un code en trois à quatre chiffres lu au verso ou au recto de la carte). Aucune copie de la carte ne doit être demandée au risque d’aggraver les chances qu’une fraude  ultérieure survienne et, lors d’un achat par téléphone, le client ne doit pas avoir à transmettre le numéro de sa carte oralement. Cette dernière règle ne tient pas tellement la route car, en principe, on n’a pas recours au téléphone si une autre solution comme internet est disponible.

Dans l’attente que ces recommandations soient adoptées pour en apprécier les résultats et sachant que le danger rôde sur le web quelles que soient les dispositions, il est du bon sens de toujours faire ses achats sur des sites de confiance.

Actualités