Cartes bancaires NFC : que recommande la CNIL ?

La Commission nationale Informatiques et Libertés (CNIL) a fait des cartes bancaires NFC et du paiement sans contact une de ses thématiques prioritaires pour 2015. L’institution compte notamment contrôler la sécurité de cette technologie, mais aussi l'application du droit des usagers à la refuser.

« Le large développement de ces dispositifs en fait une thématique de première importance, eu égard notamment au nombre de personnes concernées », explique la CNIL dans un communiqué. « Outre les questions de sécurité, la prise en compte du droit d'opposition sera notamment vérifiée. » La commission s’est fixée l’objectif de réaliser au total 550 contrôles en 2015, sans préciser combien seront consacrés spécifiquement aux cartes bancaires NFC, dont le nombre en France dépasse aujourd’hui les 33 millions.

Droit d’opposition et gratuité

Preuve supplémentaire de l’attention portée à cette technologie par l’institution, la CNIL publie également un mode d’emploi de ces cartes à destination du grand public. Elle y rappelle notamment que les « porteurs de carte doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser ». En cas de refus, la banque peut au choix rééditer un nouvelle carte sans puce NFC, soit désactiver à distance la fonction de paiement sans contact. Dans les deux cas, la CNIL insiste sur le fait que ce changement doit être gratuit.

Si la banque refuse de fournir une carte classique, ou si elle veut facturer cette opération, il est possible de saisir la CNIL. « Ajoutez toutes les preuves justificatives et le plus de détails possibles », détaille l’institution. « La CNIL, après vérification qu’il s’agit bien d’une plainte et qu’elle dispose d’éléments suffisants, interviendra auprès de la banque. Parallèlement, vous pouvez saisir le médiateur de votre banque. »

Sur un sujet proche : Comment désactiver la fonction NFC de votre carte bancaire ?

Vers un chiffrement des données ?

En matière de sécurité, la CNIL rappelle qu’à sa demande, « sur les cartes émises depuis septembre 2012, le nom du porteur n’est plus lisible par l’intermédiaire de l’interface sans contact d’une carte bancaire. Et, depuis juin 2013, il n’est plus possible de lire l’historique des transactions. » Ces évolutions ont permis de réduire les risques d’atteintes à la vie privée et de créations de fausses cartes bancaires.

Toutefois, certaines informations échangées au moment du paiement sans contact le sont toujours « en clair ». La commission appelle donc le secteur bancaire à aller plus loin en rendant impossible la collecte et la réutilisation de ces données à travers la mise en place d’un « chiffrement des échanges ».