La CNIL se montre de plus en plus vigilante sur la protection des données bancaires des particuliers alors que s’accroît la fréquentation des sites marchands et que se généralise le paiement en ligne pour toutes sortes de prestations. Exemple récent de ce principe de précaution, et pas des moindres !

La Commission nationale de l’informatique et des libertés (CNIL), le gendarme français de l’informatique, a publié, le 27 juillet dernier, un communiqué faisant état d’un avertissement adressé à Fnac Direct, filiale de la célèbre enseigne du groupe PPR en charge de l’activité de commerce électronique pour les biens culturels et IT. Cette admonestation publique concerne les « manquements dans la conservation des données bancaires » des clients, manquements observés lors de contrôles menés au mois de février.

La CNIL souligne en particulier que « cette société conservait dans une même base, en clair, le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte, parfois le cryptogramme visuel et dans un format insuffisamment sécurisé, le numéro de la carte ». La Commission a cependant admis que « les conditions de sécurité retenues (par la FNAC) n’ont pas porté préjudice aux clients », mais estime qu’« elles étaient insuffisantes au regard de la sensibilité des données ». Pour ces motifs, le service en ligne de la FNAC a écopé d’un « avertissement rendu public » qui fait office de piqûre de rappel pour toute la profession.

Un rappel à l’ordre pour tous les e-commerçants

Dans son communiqué qui précise à nouveau les règles que doivent normalement appliquer tous les sites de e-commerce, la CNIL précise que « les données bancaires communiquées par des clients lors d’un achat sur Internet sont des données dont la nature justifie des conditions de conservation strictes, entourées de mesures de sécurité élevées. La collecte et la conservation de telles données sont soumises au respect des prescriptions de la loi « informatique et libertés » ». La Commission insiste en particulier sur le fait que « Au delà de la transaction, la conservation de ces données est ainsi subordonnée au consentement des clients et ne peut intervenir que pour une durée limitée ».

Plus loin dans son communiqué, la CNIL indique aussi que « lors de la transaction, la société conserve les données bancaires par défaut à des fins d’identification commerciale, c’est à dire pour éviter aux clients d’avoir à les ressaisir lors d’un achat futur ». Elle a noté en particulier que « l’information délivrée au client sur la conservation de ces données, associée à une faculté d’effacement après la réalisation de chaque transaction, était insuffisante » et rappelé à cet égard que « la conservation des données bancaires au-delà de la réalisation d’une transaction ne peut se faire, en principe, qu’avec le consentement préalable de la personne concernée ».

Depuis cet avertissement, la FNAC aurait mis bon ordre dans ses bases de données et supprimé la sauvegarde systématique des informations bancaires associées à l’identité des porteurs de carte. Ce dernier point est particulièrement important parce que cette pratique est véritablement très répandue puisque c’est à la fois un élément de fidélisation et de confort pour les acheteurs qui n’ont pas ainsi à ressaisir leur nom, leur adresse et leur numérotation de carte bancaire à chaque fois qu’ils acquièrent un bien ou un service comme, par exemple, un billet d’avion ou de train. Il va donc être intéressant de suivre l’évolution des procédures de paiement et de fidélisation chez les cyber-marchants et la prise en compte des deux problèmes soulignés par la CNIL : l’information des acheteurs, au début du processus transactionnel, sur le principe et la durée de conservation de leurs données bancaires associées à leur nom et à d’autres données personnelles comme l’adresse des titulaires. Et comme le rappelle d’ailleurs le gendarme français de l’informatique : « Dans un contexte de développement du commerce en ligne, la CNIL est susceptible d’opérer d’autres contrôles dans ce secteur afin de s’assurer du respect des droits des consommateurs ».

Se soumettre aux exigences du PCI-DSS

Il faut rappeler encore une fois que la protection des données personnelles liées aux transactions commerciales en ligne est un élément critique indispensable au développement du e-commerce et de l’affermissement de la confiance que les acheteurs mettent de plus en plus dans le e-commerce. Pour consolider et amplifier la croissance de cette activité il faut absolument rassurer les clients mais aussi les partenaires commerciaux que sont les fournisseurs. Les e-commerçants et leurs partenaires informatiques – hébergeurs, infogérants – doivent donc apporter les garanties techniques les plus strictes en matière de sécurité des transactions et de préservation des données personnelles qui y sont associées. Et dans ce domaine, c’est la conformité à la norme PCI DSS (pour Payment Card Industry Data Security Standard) qui fait référence. Cet agrément qui sera obligatoire début 2013 pour le réseau des cartes bancaires Visa, est décerné aux acteurs qui font la démarche de conformité en apportant la preuve, délivrée par un organisme accrédité, qu’ils satisfont à douze exigences majeures en matière de protection des données critiques.

Parmi ces douze points, la moitié concerne directement la sécurisation des informations figurants sur les cartes bancaires et la protection de leur transmission lors des transactions. Il est donc indispensable pour tous les e-commerçants, grands et petits, de se conformer à cette norme soit en l’intégrant dans leurs propres infrastructures informatiques soit en travaillant avec des partenaires hébergeurs ou infogérants qui s’y soumettent déjà. Ces derniers sont évidemment de bon conseil pour leurs clients issus du e-commerce et peuvent les accompagner dans leur démarche vers la conformité PCI-DSS en leur proposant des solutions mutualisées avec d’autres clients qui leur permettront de réduire notablement les coûts et les délais.

Les 12 exigences du certificat PCI DSS

  1. Installer et administrer une configuration de pare-feu pour protéger les données des titulaires de cartes.
  2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité fournis par défaut.
  3. Protéger les données des titulaires de cartes dont les informations sont stockées.
  4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts.
  5. Utiliser les logiciels antivirus et les mettre régulièrement à jour.
  6. Développer et administrer des systèmes et des applications sécurisés.
  7. Restreindre l’accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître.
  8. Affecter un nom d’utilisateur (ID) unique à chaque titulaire de poste de travail dans l’entreprise.
  9. Restreindre l’accès aux locaux et installations techniques dans lesquels sont conservées les données des titulaires de cartes.
  10. Effectuer le suivi et surveiller les accès aux ressources réseau et aux données des titulaires de cartes.
  11. Tester régulièrement les processus et les systèmes de sécurité.
  12. Instituer une politique qui assure la sécurité des informations des employés et des sous-traitants.