Publicité

Carte bancaire: de nouvelles recommandations pour éviter les fraudes

La carte bancaire reste le moyen de paiement privilégié pour un achat sur internet. Pour éviter les fraudes, la Commission nationale de l'informatique et des libertés vient de mettre à jour ses consignes de sécurité.

Pour régler un achat sur internet, les consommateurs privilégient leur carte bancaire. Toutefois, avec à l'essor du commerce en ligne, les fraudes se multiplient. Elles progressent de près de 15 % sur un an dans les pays faisant partie de l'espace unique de paiement en euro (SEPA), selon un rapport de la Banque centrale européenne (BCE) publié le 25 février 2014.

Pour lutter contre les escroqueries, la Commission nationale de l'informatique et des libertés (CNIL) vient de mettre à jour sa recommandation en matière d'utilisation de la carte de paiement pour les transactions en ligne, publiée il y a 10 ans.

Désormais, la réglementation couvre toutes les cartes qu'elles soient interbancaires, accréditives ou privatives. À ce titre, la CNIL indique que le numéro de la carte de paiement ne peut en aucun cas être utilisé comme identifiant.

Par ailleurs, la Commission rappelle que les données personnelles pouvant être collectées lors d'un paiement doivent être strictement nécessaires à la réalisation d'une transaction. Ce qui se résume au numéro de la carte, à la date d'expiration et au cryptogramme visuel. Si d'autres informations sont demandées, elles doivent répondre à une finalité "déterminée et légitime" comme la lutte contre la fraude. En revanche, un commerçant en ligne ne peut pas exiger du consommateur la transmission d'une copie de la carte de paiement même si certains éléments sont masqués.

Une autorisation du client pour conserver ses données

De nombreux sites marchands conservent en mémoire les données de la carte d'un client pour lui éviter d'avoir à ressaisir ces informations lors des transactions ultérieures (voir: Le paiement sans contact est-il sans risque?). Dans ce cas, la CNIL recommande que le consentement du client soit préalablement recueilli de manière explicite. Le consommateur devra, par exemple, cocher ou décocher une case pour donner son accord. La Cnil préconise également que l'e-commerçant intègre directement sur son site un moyen simple de retirer, sans frais, le consentement ainsi donné.

En outre, la Commission insiste sur la confidentialité des données lorsqu'elles sont conservées par le cyber-marchand. Comment y parvenir? En cachant tout ou partie du numéro de la carte lors de son affichage ou de son stockage, en remplaçant le numéro de carte par un autre non signifiant et en mettant en place un système de traçabilité destiné à détecter tout accès ou utilisation illégitime des données afin d'imputer la fraude à la personne responsable.

Ne pas conserver ses données sur un smartphone ou sur un ordinateur

La Commission recommande aux internautes de ne pas conserver des données de leur carte de paiement sur un smartphone ou un ordinateur, dans la mesure où ces appareils ne sont pas conçus pour assurer la sécurité de telles informations. Si la demande du numéro de carte bancaire est faite par téléphone, une solution alternative et sans coût supplémentaire doit être proposée au client.

Alerter le consommateur lorsque ses données sont détournées

La CNIL demande à ce que le titulaire de la carte soit informé d'un détournement de ses données bancaires afin qu'il prenne les mesures appropriées pour limiter les risques de réutilisation frauduleuse de sa carte (contestation de paiements frauduleux, mise en opposition de la carte, etc.). Elle préconise également la mise en place de moyens d'authentification renforcée du porteur de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine d'un règlement à distance.

De manière générale, les évolutions de la législation devraient, selon la CNIL conduire à une plus grande responsabilisation des cybercommerçants qui pourrait passer par une intégration de la protection des données dès la conception des produits ("privacy by design"), des analyses de risque, ou l'élaboration de politiques "vie privée".

Carte bancaire: de nouvelles recommandations pour éviter les fraudes

S'ABONNER
Partager

Partager via :

Plus d'options

S'abonner