Question de : M. Christophe Blanchet
Calvados (4e circonscription) - La République en Marche

M. Christophe Blanchet attire l'attention de M. le ministre de l'économie et des finances sur les solutions de garantie de paiement en ligne et de lutte contre la fraude à la carte bancaire mises en œuvre par des sites marchands. La Commission nationale de l'informatique et des libertés relève que, dans le cas d'une transaction à risque, le commerçant peut demander des justificatifs (hors relevé de compte, carte vitale ou RIB) à l'internaute après le paiement en ligne. Dans ce cas de figure, l'acheteur se trouve dépossédé de la somme payée, prélevée par le site marchand, tandis que la transaction se trouve être suspendue par ce dernier dans le cadre d'une vérification de l'identité du payeur, considéré comme coupable jusqu'à preuve du contraire. Du point de vue de l'acheteur, la pratique s'apparente à de l'escroquerie puisqu'il a payé mais qu'il n'est pas livré et que le remboursement peut prendre des semaines, voire des mois. Il lui demande sur quelle base légale la CNIL s'appui pour émettre cet avis, et si le Gouvernement étudie des mesures à prendre en vue d'interdire cette pratique.

Réponse publiée le 27 février 2018

Face à la multiplication des tentatives de fraude et attaques visant à compromettre des données ou des moyens de paiement, les acteurs sont contraints de s'adapter en permanence aux évolutions des scénarios de fraude mis en œuvre et aux mesures déployées pour y répondre. La Commission nationale de l'informatique et des libertés (CNIL) a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance. La CNIL rappelle ainsi que les prestataires qui réalisent le stockage des données relatives à la carte pour le compte du commerçant ont la qualité de sous-traitant et sont tenus à la mise en place de mesures de sécurité adaptées. Les recommandations applicables aux commerçants sont par conséquent également applicables à leur sous-traitant. L'entrée en vigueur prochaine de plusieurs textes européens devrait contribuer à résorber les éventuelles distorsions qui pourraient demeurer au niveau européen, dans les cas où ce prestataire est situé dans un autre Etat de l'Union européenne (UE). Ainsi, la directive 2015/2366 sur les services de paiement (DSP2), en application le 13 janvier 2018, instaurera des normes de sécurité plus strictes pour les paiements en ligne, qui renforcera la confiance dans les achats en ligne et établira un cadre portant sur l'authentification forte. Par ailleurs, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel instaure un cadre harmonisé de protection des données personnelles au niveau européen à compter du 25 mai 2018. L'ensemble de ces dispositions contribueront à élaborer un cadre harmonisé destiné à faciliter les paiements, sécuriser les commerçants et protéger l'usage des données personnelles. Enfin, la mise en œuvre progressive des règles établies au niveau européen relativement au virement instantané (SEPA Credit Transfer Inst) permettra au commerçant de vérifier immédiatement la disponibilité des fonds, facilitant ainsi l'expédition des biens par celui-ci, et ce sans avoir à vérifier préalablement les données garantissant le paiement par le payeur. En tout état de cause, il est possible de soumettre une plainte à la CNIL, en remplissant un formulaire de plainte en ligne dans le respect des conditions figurant sur le site de cette Commission, ou d'adresser une réclamation auprès des services de la direction départementale de la concurrence, de la consommation et de la répression des fraudes.

Données clés

Auteur : M. Christophe Blanchet

Type de question : Question écrite

Rubrique : Moyens de paiement

Ministère interrogé : Économie et finances

Ministère répondant : Économie et finances

Dates :
Question publiée le 5 décembre 2017
Réponse publiée le 27 février 2018

partager