14ème législature

Question N° 75085
de M. François Loncle (Socialiste, républicain et citoyen - Eure )
Question écrite
Ministère interrogé > Commerce, artisanat, consommation et économie sociale
Ministère attributaire > Finances et comptes publics

Rubrique > moyens de paiement

Tête d'analyse > cartes bancaires

Analyse > paiement sans contact. données. sécurisation.

Question publiée au JO le : 03/03/2015 page : 1417
Réponse publiée au JO le : 17/11/2015 page : 8385
Date de changement d'attribution: 10/03/2015
Date de signalement: 12/05/2015

Texte de la question

M. François Loncle alerte Mme la secrétaire d'État, auprès du ministre de l'économie, de l'industrie et du numérique, chargée du commerce, de l'artisanat, de la consommation et de l'économie sociale et solidaire sur les risques de piratage des cartes bancaires sans contact. La fonction « sans contact » permet au titulaire d'une carte bancaire marquée d'un logo spécifique évoquant un écho radar de régler tout achat n'excédant pas 20 euros simplement en posant la carte sur le terminal de paiement du commerçant, sans avoir à taper le code confidentiel. Plus de 18 millions de cartes bancaires - soit le tiers des cartes en circulation - sont aujourd'hui équipées de ce dispositif qui paraîtrait utile, pratique et commode s'il ne présentait de sérieux dangers. Des informaticiens ont en effet révélé qu'il est possible d'en intercepter les données personnelles, notamment le numéro de la carte et sa date d'expiration. La Commission nationale de l'informatique et des libertés (Cnil) a confirmé les failles de ces cartes. De plus, le détenteur d'une telle carte peut, en cas de perte ou de vol de celle-ci, éprouver quelque difficulté à démontrer auprès de sa banque un paiement frauduleux. Il lui demande que la fonction sans contact ne soit qu'une simple option pouvant être acceptée ou rejetée, que les établissements bancaires ne l'imposent pas en tout cas à l'insu de leurs clients et qu'ils ne l'activent pas sans leur approbation écrite. Il souhaite qu'elle manifeste une grande vigilance à l'égard de la sécurité des données personnelles contenues dans les cartes bancaires et qu'elle veille à son amélioration.

Texte de la réponse

Selon les données collectées par l'observatoire sur sécurité des cartes de paiement (OSCP), instance placée auprès de la Banque de France, sur l'ensemble de l'année 2014, 72,2 millions de paiements sans contact ont été enregistrés pour un montant total de 780,9 millions d'euros, soit un montant moyen de 11 euros par opération. Sur les 9 derniers mois de l'année 2014, 9 600 paiements frauduleux ont été recensés pour un montant total de 108 000 euros. Le taux de fraude sur les transactions sans contact peut ainsi être estimé à 0,015 % sur cette période, et s'établirait donc à un niveau intermédiaire entre le taux de fraude des paiements de proximité tous modes confondus (0,010 %), et celui des retraits (0,034 %). Selon l'OSCP, la fraude aux paiements sans contact a pour origine quasi exclusive le vol ou la perte de la carte ; la technologie sans contact elle-même ne semble donc pas avoir présenté de faille exploitable pour les fraudeurs, de type écoute passive des données de carte lors d'une transaction, ou activation à distance de la carte dans des lieux publics, par exemple. En outre, la mise en place par les émetteurs de carte de plafonds sur le montant maximum d'une transaction unitaire (généralement fixé à 20 euros) et sur le cumul des transactions consécutives pouvant être effectuées chaque jour sans la saisie du code confidentiel (généralement fixé à 100 euros), permet de limiter le préjudice subi en cas de perte ou de vol d'une carte. Le porteur est par ailleurs protégé par la loi en cas de fraude puisqu'il dispose de 13 mois pour contester les transactions non autorisées auprès de son prestataire de services de paiement, qui doit alors le rembourser dans les plus brefs délais. Il doit être noté que dans les autres pays d'Europe où la carte sans contact a été lancée à grande échelle (au Royaume Uni et en Pologne notamment), il n'a pas été constaté d'un niveau de fraude supérieur à celui des autres cartes. Les établissements bancaires et le groupement des cartes bancaires CB ont suivi les recommandations de la commission nationale de l'informatique et des libertés (CNIL) puisque ni les nom et prénom du client, ni l'historique des transactions ne sont susceptibles d'être interceptés via l'interface sans contact de la carte. La Banque de France, dans son rôle de surveillance des moyens de paiements scripturaux, assure un suivi de la mise en oeuvre de ces mesures. Le développement du paiement par carte ou mobile sans contact dans le commerce de proximité fait partie des objectifs promus par la stratégie nationale sur les moyens de paiement publiée en octobre 2015. Afin d'encourager cette modalité de paiement et d'assurer pleinement la sécurité des utilisateurs et leur liberté de choix, les banques se sont engagées à renforcer l'information du client lors de l'octroi d'une carte équipée d'une fonction sans contact, en délivrant de manière systématique une information précise et simple sur les modalités d'utilisation de cette carte, en s'assurant de leur accord, et en rappelant la possibilité de demander sans coût supplémentaire une nouvelle carte non équipée de la fonctionnalité de paiement sans contact ou la désactivation de ce service.