Texte de la question
M. Christophe Blanchet attire l'attention de M. le ministre de l'économie et des finances sur les solutions de garantie de paiement en ligne et de lutte contre la fraude à la carte bancaire mises en œuvre par des prestataires de service pour le compte de sites marchands. La Commission nationale de l'informatique et des libertés relève que le commerçant peut faire appel à un prestataire de service qui lui garantira ou non le paiement de ses transactions. Elle indique également que, dans le cas d'une transaction considérée à risque par le prestataire, le commerçant peut demander des justificatifs (hors relevé de compte, carte vitale ou RIB) à l'internaute avant ou après le paiement en ligne ; et que seuls les services du commerçant en charge du paiement ou de la lutte contre la fraude doivent y avoir accès. Or certains commerçants externalisent la vérification d'identité à des prestataires, tels que le service Certissim de la société Fia-Net, affiliée au groupe Crédit agricole via une filiale luxembourgeoise, qui procèdent eux-mêmes à la demande de justificatifs en lieu et place du commerçant. Dans une telle situation, le prestataire procède à un contrôle d'identité et exige la photocopie d'un RIB afin de garantir le paiement au commerçant. Quant à l'internaute, il est à la merci d'un tiers qui n'est pas le commerçant et à qui il doit livrer ces justificatifs (RIB, photocopie de CNI, et autres données personnelles). Faute de quoi, il se voit fiché par le prestataire dont le fonds de commerce est la conservation de fichiers de clients hâtivement considérés comme fraudeurs ; en plus de ne pas pouvoir mener la transaction à terme. Une fois fiché par le prestataire, l'acheteur est mis face à un véritable parcours d'obstacle pour prouver sa bonne foi, tout en étant toujours jugé avec suspicion par un prestataire qui menace chacun de ses achats en ligne. Aussi lui demande-t-il quelles mesures le Gouvernement compte prendre à l'encontre de ce type de pratiques exploitant un flou juridique.
Texte de la réponse
Face à la multiplication des tentatives de fraude et attaques visant à compromettre des données ou des moyens de paiement, les acteurs sont contraints de s'adapter en permanence aux évolutions des scénarios de fraude mis en œuvre et aux mesures déployées pour y répondre. La Commission nationale de l'informatique et des libertés (CNIL) a adopté une délibération, le 19 juin 2003, portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance. La CNIL rappelle ainsi que les prestataires qui réalisent le stockage des données relatives à la carte pour le compte du commerçant ont la qualité de sous-traitant et sont tenus à la mise en place de mesures de sécurité adaptées. Les recommandations applicables aux commerçants sont par conséquent également applicables à leur sous-traitant. L'entrée en vigueur prochaine de plusieurs textes européens devrait contribuer à résorber les éventuelles distorsions qui pourraient demeurer au niveau européen, dans les cas où ce prestataire est situé dans un autre Etat de l'Union européenne (UE). Ainsi, la directive 2015/2366 sur les services de paiement (DSP2), en application le 13 janvier 2018, instaurera des normes de sécurité plus strictes pour les paiements en ligne, qui renforcera la confiance dans les achats en ligne et établira un cadre portant sur l'authentification forte. Par ailleurs, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel instaure un cadre harmonisé de protection des données personnelles au niveau européen à compter du 25 mai 2018. L'ensemble de ces dispositions contribueront à élaborer un cadre harmonisé destiné à faciliter les paiements, sécuriser les commerçants et protéger l'usage des données personnelles. Enfin, la mise en œuvre progressive des règles établies au niveau européen relativement au virement instantané (SEPA Credit Transfer Inst) permettra au commerçant de vérifier immédiatement la disponibilité des fonds, facilitant ainsi l'expédition des biens par celui-ci, et ce sans avoir à vérifier préalablement les données garantissant le paiement par le payeur. En tout état de cause, il est possible de soumettre une plainte à la CNIL, en remplissant un formulaire de plainte en ligne dans le respect des conditions figurant sur le site de cette Commission, ou d'adresser une réclamation auprès des services de la direction départementale de la concurrence, de la consommation et de la répression des fraudes.