Amazon, Cdiscount, Veepee… Votre paiement par carte bancaire en questions

En 2018, les Français ont dépensé plus de 92 milliards d’euros sur Internet, un chiffre en croissance de plus de 13% (1). Chez qui les Français achètent-ils le plus ? Le n°1 se nomme Amazon.fr (2) : le géant américain capte en effet 1 euro sur 5 dépensés chez les marchands du web (20,3% de part de marché). Derrière suivent Cdiscount (8%), vente-privée, désormais rebaptisée Veepee (3,4%), la Fnac (2,5%) et Darty (2,3%).

Si la hausse du volume des achats est le signe d’une certaine confiance des consommateurs dans les sites de commerce en ligne, la question de la sécurité des transactions se pose malgré tout. D’autant plus que le taux de fraude sur les paiements à distance par carte bancaire est supérieur à celui des autres moyens de paiement (3).

1. Un site de vente en ligne a-t-il le droit d’enregistrer par défaut les données de ma carte bancaire lors d’un achat ponctuel ?

Non, aucun e-commerçant ne peut enregistrer vos données de carte bancaire sans avoir obtenu auparavant votre accord. La CNIL, le « gendarme des données personnelles », précise que le numéro de carte bancaire à 16 chiffres, la date d’expiration et le cryptogramme visuel (les 3 chiffres au dos de la carte) ne doivent pas être conservés par défaut au-delà de la transaction. Toutefois, si le commerçant souhaite garder ces données ou que le client veut les lui confier pour réaliser un achat plus rapidement les fois suivantes, il faut que cela fasse l’objet d’un choix éclairé. Sur le site, une case à cocher (et non cochée d’avance) doit par exemple être présente pour que l’utilisateur indique clairement son accord à la conservation des informations de paiement.

Selon des tests effectués par la rédaction de MoneyVox sur les principaux sites de vente en ligne, Cdiscount, Veepee et la Fnac n’enregistrent pas par défaut les données relatives à la carte de paiement. C’est bien une option, il faut cocher une case pour que les informations soient stockées pour un achat futur. Amazon, en revanche, a enregistré les données de notre carte bien que nous n’ayons pas coché de case en ce sens. Un comportement d’ailleurs dénoncé sur plusieurs forums d’associations de consommateurs. Sollicitée sur cette entorse à la règle, la société Amazon n’a pas donné suite à nos questions.

Par ailleurs, même si vous acceptez qu’un e-commerçant conserve vos données de carte bancaire, il ne pourra garder dans son fichier sécurisé que le numéro à 16 chiffres et la date de validité. Le cryptogramme à 3 chiffres, lui, ne doit jamais être conservé dans la base de données du e-commerçant ou de son prestataire de paiement. « Le cryptogramme est utilisé pour vous authentifier, c’est un peu comme votre mot de passe », explique Clémence Scottez, cheffe du service des affaires économiques de la CNIL. « C’est ce qui assure que vous êtes effectivement en possession de la carte bancaire qui est utilisée. Le cryptogramme n’a pas à être conservé par un tiers dans sa base de données, sinon il perdrait toute son utilité et son efficacité en tant qu’élément confidentiel ».

La CNIL procède régulièrement à des contrôles auprès des e-commerçants. En 2016, elle avait ainsi épinglé Cdiscount pour divers manquements, dont le fait d’avoir « conservé en clair dans [...] sa base de données […] 2 104 cartes bancaires valides au jour du contrôle auxquelles était associé un cryptogramme ». Cdiscount avait rapidement corrigé le tir et la CNIL avait clôturé la procédure.

2. Est-ce que je peux supprimer mes données de carte bancaire après avoir donné mon accord ?

Bien sûr… Votre choix de confier vos données bancaires au site de vente en ligne est révocable à tout moment. La CNIL recommande « que l'e-commerçant intègre directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné ». Et sur les 4 sites testés par MoneyVox (Amazon, Cdiscount, Veepee et Fnac), il a été très facile de supprimer les informations relatives à la carte bancaire, qu’on trouve aisément dans son espace client personnel.

3. Pourquoi le cryptogramme n’est-il pas systématiquement réclamé lors d’un achat alors que le site n’est pas censé l’avoir conservé ?

Si vous avez choisi d’enregistrer votre carte bancaire sur un site marchand pour faciliter vos achats, vous n’aurez pas à ressaisir les 16 chiffres de votre Visa ou Mastercard, ni sa date de fin de validité. Concernant le cryptogramme à 3 chiffres, deux cas de figure se présentent : soit la plateforme de vente en ligne vous le demande pour finaliser la transaction (cela a été le cas dans nos tests chez Cdiscount ou Veepee par exemple), soit la solution technique de paiement permet de faire sans ce cryptogramme. Car non, la saisie du code à 3 chiffres n’est pas indispensable pour que la transaction soit correctement sécurisée.

Chez Amazon par exemple, lors d’une commande passée depuis un ordinateur habituel et pour une livraison à une adresse habituelle, nous n’avons pas eu à ressaisir le cryptogramme. Et pourtant, cela ne signifie pas qu’Amazon l’a conservé dans sa base de données. Le site peut s’être basé sur tout un faisceau d’indices (adresse IP déjà enregistrée, terminal de connexion déjà connu, adresse de livraison inchangée…) pour juger que le paiement est sécurisé. En revanche, quand nous avons voulu renseigner une nouvelle adresse de livraison pour un autre achat, nous avons été déconnectés temporairement du site. Un mot de passe temporaire, valable 10 minutes, nous a été envoyé par mail. Tant que ce mot de passe n’était pas renseigné, impossible de finaliser la commande vers la nouvelle adresse. Un garde-fou « maison » pour éviter la fraude. « Amazon est assez exemplaire dans sa façon de gérer le paiement, il a depuis longtemps une longueur d’avance en la matière », explique François Lecomte-Vagniez, fondateur de Lobary, société de conseil spécialisée dans le digital et le paiement. « Amazon, vente-privée… Ces marchands ont un niveau de technicité hors du commun ».

4. Pourquoi la confirmation par SMS se déclenche-t-elle pour certains achats mais pas pour d’autres ?

Parfois, c'est le commerçant qui ne souhaite pas activer le protocole 3D Secure (ce code à 6 chiffres envoyé par SMS par votre banque pour finaliser la transaction). Amazon ne l’a jamais pratiqué par exemple. Car plus il y a d’étapes avant la finalisation de l’achat, plus le consommateur peut finalement renoncer à la transaction. Cités par Capital, Mathieu Sené et Bertrand Pineau, auteurs du Livre blanc de la Fédération du e-commerce et de la vente à distance (Fevad) sur la sécurisation des paiements sur Internet, ont constaté ce choix stratégique : « De façon assez franche, certains [responsables informatiques] nous ont confié être impuissants face à l'impératif édicté par leur direction de fluidifier à l'extrême le parcours client, notamment en proposant l'achat en un clic ».

Mais dans certains cas, le 3D Secure n’est pas activé car la banque, sollicitée par le e-commerçant, juge qu’elle n’en a pas besoin, que le risque de fraude n’existe pas. « A partir de toutes les données qu’il a en sa possession (l’appareil utilisé pour l’achat, l’adresse IP, le lieu de livraison de la commande, la fréquence de consultation du site marchand, l’historique des opérations de paiement), l’émetteur [la banque, ndlr] peut considérer qu’il n’a pas besoin d’avoir une interaction avec son client pour présumer que c’est bien lui qui est en train de faire la transaction de paiement sur le site de e-commerce », explique Loÿs Moulin, directeur du développement chez Cartes Bancaires CB (le GIE interbancaire qui organise le fonctionnement du système Carte CB). « Il n’a donc pas besoin de lui envoyer un sms ou une notification sur l’application mobile de sa banque pour l'inviter à saisir un code confidentiel ou poser son index pour son empreinte digitale sur son smartphone ».

5. Reconnaissance faciale, empreinte digitale… Une authentification plus forte pour vous demain ?

Actuellement, l'e-commerçant peut décider d’analyser tout seul le risque de fraude au moment du paiement d’un achat sur sa plateforme. Il peut donc choisir de ne pas solliciter la banque émettrice de la carte bancaire pour un contrôle supplémentaire. Mais d’ici quelques mois, en vertu d’une directive européenne sur les services de paiement (la DSP2), l’authentification devra être renforcée : l'e-commerçant sera obligé de passer par la plateforme d‘analyse de risques (baptisée FAST'R) mise en place par le groupement des Cartes Bancaires et c’est la banque qui décidera ou non d’enclencher une authentification forte pour la transaction.

Pour un panier supérieur à 30 euros notamment, il pourrait y avoir 2 éléments de contrôle pour être sûr que c’est bien vous qui passez la commande. L’objectif est de renforcer la lutte contre la fraude. « L’authentification forte, c’est la combinaison de : 1/ ce que je possède (une carte sécurisée ou un smartphone avec un élément sécurisé inviolable), 2/ ce que je sais (un code secret) ou 3/ ce que je suis (reconnaissance faciale, empreinte digitale, ou autre élément biométrique) », explique François Lecomte-Vagniez. « Pour faire une authentification forte, la loi oblige à ce qu'au moins 2 de ces 3 éléments soient respectés ». Le 3D Secure ne correspond pas à ces critères donc il sera abandonné. Et remplacé par d’autres mécanismes. Le changement est en partie entré en vigueur chez quelques acteurs : « Certaines banques ont déjà introduit auprès de leurs clients de nouveaux dispositifs d’authentification pour les opérations en ligne (baptisés selon les banques « pass sécurité », « la clé digitale », « Securipass », « Secur’Pass »...). L’idée, c’est que d’ici fin 2020, la majorité des clients soient équipés d’une nouvelle méthode », précise Loÿs Moulin. Méthode qui relève de la biométrie : empreinte digitale ou reconnaissance faciale sur smartphone, mot de passe complémentaire sur l’application mobile de la banque, etc.

Mais attention, cela ne signifie pas qu’on vous réclamera systématiquement une authentification forte. Les informations à disposition de la plateforme FAST’R (les mêmes déjà cités : adresse IP, adresse de livraison de la commande, appareil utilisé pour effectuer l’achat, habitude de fréquentation du site, nombre d’articles dans le panier, antécédents de paiement avec la CB, etc) peuvent être suffisamment concluantes pour déterminer que c’est bien vous qui êtes « à l’autre bout de la ligne ». « On pense qu’il y aura toujours une majorité de paiements avec une authentification passive [où les éléments informatiques suffisent, ndlr] et une minorité de parcours avec une authentification forte (environ 15% actuellement en nombre, 43% en valeur). Et selon les commerçants, cette proportion varie. Aujourd’hui, certains vendeurs préfèrent déjà avoir une authentification forte systématique. Pour eux, cela continuera », explique Loÿs Moulin.

(1) Bilan 2018 du e-commerce en France : https ://www.fevad.com/bilan-e-commerce-ventes-internet/

(2) Panel eKommerce établi par Kantar, juin 2019

(3) Rapport annuel 2018 de l’Observatoire de la Sécurité des Moyens de Paiement