Les cyber-marchands dans le collimateur de la Cnil

« Pensez-vous être suffisamment informé(e) du niveau de sécurité mis en oeuvre par les sites d’e-commerce ? Quel est votre sentiment sur le niveau de confidentialité assuré par les sites d’e-commerce ? Vous considérez-vous suffisamment informé(e) sur les nouvelles utilisations de votre numéro de carte bancaire ? » Alertée par de nombreux consommateurs mécontents « de voir leurs données bancaires conservées et utilisées à d’autres fins que le paiement [en ligne]« , la Commission nationale de l’informatique et des libertés (Cnil) a profité de la 6e édition de la Fête de l’Internet pour lancer, le 17 mars, « un appel à contributions dans le cadre de sa réflexion sur la conservation et l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance ». Un appel qui se traduit par un questionnaire-témoignage anonyme en ligne.

La Commission rappelle que, en tant que donnée indirectement nominative, le numéro de carte bancaire (CB) est protégé par la loi Informatique et Libertés du 6 janvier 1978, et que la quasi-totalité des sites de commerce électronique français chiffrent ce numéro lors d’une transaction. Ce qui assure la confidentialité de l’opération lors de l’envoi des données. Mais l’objet de cette consultation porte sur les conditions de stockage des données en question, que le numéro de CB ait été transmis via Internet, par téléphone ou par voie postale. « Les risques d’intrusion dans les fichiers de commerçants sont en effet bien réels », souligne la Cnil. Nombres d’exemples lui donnent hélas raison (voir notamment édition du 18 février 2003). Et ils pourraient se multiplier puisque l’usage du « portefeuille électronique », qui permet de saisir une seule fois ses coordonnées à l’enregistrement d’un compte client pour ne plus avoir à les taper à chaque commande, est appelé à se développer dans l’avenir, notamment via les services Passport de Microsoft ou Liberty Alliance de Sun, entre autres.

Nouvelles recommandations en vue pour juin

Au vu des questions du formulaire, la Commission semble également s’inquiéter de la durée excessive de conservation des numéros de CB, sans que le consommateur en soit pour autant informé. L’article 28 de la loi Informatique et Libertés rappelle pourtant qu’« au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées sous une forme nominative qu’en vue de leur traitement à des fins historiques, statistiques ou scientifiques » et que « les informations ainsi conservées […] ne peuvent faire l’objet d’un traitement à d’autres fins qu’à des fins historiques, statistiques ou scientifiques, à moins que ce traitement n’ait reçu l’accord exprès des intéressés ». Ce n’est apparemment pas toujours le cas et certaines données restent des années sur les disques durs des commerçants en ligne.

La Cnil ne fournit, pour l’heure, aucun exemple concret d’utilisation frauduleuse ou détournée des coordonnées bancaires. Les résultats du sondage seront publiés ultérieurement sur le Web. Parallèlement, la Commission a engagé une concertation avec les acteurs du commerce en ligne (principales fédérations professionnelles, associations de consommateurs et pouvoirs publics). Ces rencontres aboutiront à une recommandation qui devrait « être adoptée dans trois mois », soit en juin 2003, au moment du passage de la loi sur l’économie numérique (LEN) au Sénat. Cette recommandation entraînera-t-elle des amendements à cette loi controversée ?