CNIL, communiqué, 19 mai 2015
La CNIL tente d’intervenir pour assurer certaines garanties aux clients.
Les cartes bancaires, dites sans contact et sans code, se développent de manière exponentielle depuis quelques années en France ; elles soulèvent toutefois des questions de sécurité pour les données personnelles des clients que la systématisation de leur recours par les banques rend problématique. La CNIL tente d’intervenir pour assurer certaines garanties aux clients.
Les cartes bancaires équipées NFC (Near Field Communication), encore dénommées cartes bancaires « sans contact », font l’objet depuis deux ans d’un vaste déploiement. En France, plus 33 millions de cartes de paiement, soit près de 50% des cartes en circulation, ont des fonctionnalités sans contact (Source : l’observatoire du sans contact, févr. 2015).
La carte de paiement sans contact est équipée d’une puce (non visible à l’œil nu) permettant d’effectuer des transactions jusqu’à une distance de 10 centimètres et pour un montant inférieur à 20 euros. Au-delà de ce montant, le client devra saisir son code de carte bancaire pour que le paiement intervienne. Le code de la carte bancaire est également exigé à partir d’un certain montant de transactions cumulées (tous les 80 euros d’achat par exemple).
Encouragées par le GIE Cartes Bancaires (CB), qui gère le réseau interbancaire de paiement par cartes en France, les banques de détail équipent massivement leurs clients de cartes NFC.
Cette technologie a l’avantage d’étendre potentiellement le paiement par carte – et les importants revenus qu’il génère – aux achats de petit montant, mais dont la sûreté continue de faire débat.
Le déploiement rapide des cartes bancaires NFC en France doit donc plus au volontarisme des banques qu’à une réelle attente des consommateurs. La quasi-intégralité des banques interrogées équipent par défaut les nouvelles cartes qu’elles mettent en circulation, que ce soit à l’occasion d’une ouverture de compte ou d’un renouvellement.
Rares sont donc les français qui ont demandé expressément à bénéficier du paiement sans contact.
Pourtant, le cadre juridique n’empêche en aucun cas les banques de faire le choix de distribuer des cartes dont l’interface sans contact n’est pas active par défaut et peut être activée à la demande de l’utilisateur. Néanmoins, parmi les enseignes interrogées, seule la Banque Postale propose la fonction de manière optionnelle.
La CNIL est intervenue afin de prévoir des garanties au bénéfice des clients. Depuis sa recommandation de juillet 2013, les porteurs de carte doivent être clairement informés de la fonctionnalité sans contact (article 32 de la loi « informatique et libertés ») et doivent pouvoir la refuser : généralement, soit la banque proposera alors une nouvelle carte, identique aux anciens modèles, soit elle proposera une désactivation de la puce via le site Internet de la banque.
Cette situation est donc des plus troublantes. La logique de liberté de choix du consommateur semble avoir été renversée : le principe est désormais celui de l’implantation d’office de la puce sans contact activée, et l’exception celle de la demande de désactivation du client, alors que le principe devrait être celui de la délivrance d’une carte bancaire avec une puce sans contact désactivée (voire même sans puce sans contact), dont l’activation ne serait réalisée qu’à la demande expresse du client.
Notons par ailleurs que dans l’hypothèse où la banque ne répondrait pas à la demande de désactivation du client (ou de réédition de la carte sans puce sans contact) ou refuserait de s’exécuter sans frais et sans condition, le client a toujours la possibilité de saisir la CNIL d’une plainte. La CNIL peut intervenir auprès de la banque dissidente.
La CNIL est également intervenue afin de renforcer la sécurité des informations à caractère personnel des clients. Ainsi, sur les cartes émises depuis septembre 2012, le nom du porteur n’est plus lisible par l’intermédiaire de l’interface sans contact d’une carte bancaire, et depuis juin 2013, il n’est plus possible de lire l’historique des transactions. La réduction des données présentes sur la carte permet de réduire les risques d’atteintes à la vie privée. Ces données ne suffiraient pas à recréer de fausses cartes ou à retirer de l’argent dans un distributeur automatique.
L’accessibilité des données reste toutefois un sujet préoccupant. En 2012, Renaud Lifchitz, un ingénieur sécurité de British Telecom, avait pu démontrer que les données entre la carte et le terminal pouvaient être interceptées, dans un rayon d’une quinzaine de mètres, par n’importe qui disposant du matériel et des compétences adéquates. L’américaine Kristin Paget, une autre spécialiste en sécurité, avait de son côté prouvé qu’avec un faible budget, il était possible de lire à distance les données de son voisin dans les transports en commun et de procéder immédiatement à un paiement électronique avec ces données.
Dès juillet 2013, la CNIL a donc appelé le secteur bancaire à une adaptation constante des mesures de sécurité pour garantir que ces données ne soient pas collectées et réutilisées par des tiers. Elle invite donc à la mise en œuvre des recommandations émises par l’Observatoire de la Sécurité des Cartes de Paiement dès 2007 et 2009, ainsi qu’à terme à un chiffrement des échanges, rendant tout accès aux données impossible.
Loin d’être clairement appréhendée et régulée, la question du paiement sans contact et de la nécessaire protection corrélative des données du client reste préoccupante, et ce d’autant plus qu’a récemment émergé l’option du paiement par l’intermédiaire de son téléphone mobile.