Sommaire N° 7 du 23 mai 2001

Avis du Conseil national de la consommation sur la sécurité des cartes de paiement
NOR :  ECOC0100169V

    Le groupe de travail du CNC sur la sécurité des cartes bancaires, dont les rapporteurs étaient, pour le collège des consommateurs et usagers, Mme Reine-Claude Mader et, pour le collège des professionnels, M. Bernard Siouffi, a eu pour objectif, conformément au mandat qui lui avait été fixé, d’aboutir, au terme de ses travaux, à la formulation de propositions concrètes visant à l’amélioration de la sécurité des cartes bancaires quel qu’en soit l’émetteur, et donc à la réduction des pratiques frauduleuses, et également à la clarification et à l’amélioration des relations entre porteur de carte et émetteur, notamment en cas d’utilisation frauduleuse de celle-ci. Il s’est basé pour ce faire sur l’audition de nombreux intervenants extérieurs et sur les interventions des membres du groupe, qui lui ont permis de dresser un tableau des pratiques frauduleuses existantes et des problèmes rencontrés par les différents acteurs du système et de recueillir les suggestions de chacun sur les améliorations pouvant y être apportées.
    Le présent avis reprend l’essentiel de ces recommandations qui définissent les grandes orientations qu’il semble nécessaire au groupe de travail de mettre en œuvre, compte tenu de la situation actuelle et des évolutions techniques envisageables.
    Amélioration de la sécurité du système carte bancaire :
    Après recensement du type de problèmes rencontrés par les utilisateurs de carte bancaire et consultation des représentants des émetteurs de cartes et des commerçants, il est apparu qu’un certain nombre d’adaptations du système (cartes bancaires, terminaux de paiement, système de transmission des données,...) pouvaient être réalisées, pour certaines de façon urgente, pour d’autres à plus long terme, permettant de renforcer la sécurité liée à l’utilisation de la carte bancaire.
    Le CNC demande donc :
    –  que les distributeurs automatiques de billets soient rapidement adaptés afin, lors des retraits et des paiements, de ne plus utiliser la piste mais la puce des cartes bancaires, celle-ci présentant des garanties de sécurité beaucoup plus importante ;
    –  que, de façon urgente, soient prises les mesures permettant de faire disparaître la mention du numéro de carte complet et de l’identité du porteur sur les facturettes ;
    –  qu’à moyen terme, il soit étudié la possibilité de supprimer les fonctions de paiement et de retrait sur la piste magnétique pour les cartes bancaires nationales et qu’il y ait une carte différente pour les opérations nationales et pour les opérations internationales ;
    –  que soient généralisées l’existence d’un numéro ou d’un cryptogramme visuel au verso des cartes bancaires, et son utilisation pour les demandes d’autorisation (par exemple, système CVV 2) ;
    –  que soient mis en place au bénéfice des commerçants, en particulier dans le secteur de la vente à distance, des systèmes de vérification de l’identité du porteur ;
    –  que soient développés les systèmes de paiement en ligne sécurisés n’impliquant pas la circulation des numéros de carte en ligne.
    Amélioration des conditions d’utilisation de la carte bancaire par le porteur et des conditions de conservation des données par les fournisseurs (commerçants) :
    Outre les améliorations techniques qui peuvent être apportées afin d’améliorer la sécurité du système carte bancaire, les discussions du groupe de travail ont permis d’établir que l’adoption d’un certain nombre de mesures pratiques pourrait permettre de réduire les risques d’utilisation frauduleuse des cartes bancaires et, ainsi, de mieux assurer la sécurité financière des consommateurs.
    Dans ce domaine, le CNC recommande :
    –  que soit établi un espace de confidentialité (ligne de courtoisie par exemple) devant les distributeurs automatiques de billets, afin d’assurer une meilleure protection du code secret, et que soit également engagée de façon plus large une réflexion au niveau de la conception de ces distributeurs et de leurs lieux d’installation, associant les utilisateurs, ce, afin que soient mieux prises en compte leurs attentes en termes de facilité d’utilisation et de sécurité ;
    –  que les terminaux de paiement soient adaptés afin que, lors d’un règlement chez un commerçant, les consommateurs puissent garder un contact visuel permanent avec leur carte, et que l’ergonomie de ces mêmes terminaux soit améliorée afin de permettre aux consommateurs de composer leur code secret en tout confidentialité ;
    –  qu’à défaut de la mise en place d’un système d’acceptation explicite d’utilisation des données personnelles tel que le souhaitent les associations de consommateurs, la protection des données nominatives soit assurée conformément aux dispositions de la loi Informatique et libertés ;
    –  que soit favorisée, avec l’accord de la CNIL, la mise en place de fichiers d’incidents accessibles à tous les professionnels, notamment pour le secteur de la vente à distance.
    Ces mesures pratiques doivent également s’accompagner de mesures d’information à l’attention des consommateurs, notamment de ceux qui disposent d’une carte internationale.
    Cela pourrait se faire à l’occasion de la signature du contrat porteur carte bancaire puis ensuite une fois par an, en insistant sur les principales consignes de sécurité à respecter lors de l’utilisation de la carte. De même, lors d’achats sur Internet, les consommateurs doivent être informés de l’existence ou de l’absence de système de sécurisation des paiements sur le site et sur les conditions de circulation et de stockage des numéros de carte de paiement.
    Amélioration de la gestion des incidents liés à des pratiques frauduleuses :
    
Si tous les moyens précédemment cités doivent rapidement être mis en œuvre afin de permettre une diminution notable des problèmes liés à la sécurité des cartes bancaires, on ne peut espérer parvenir à une disparition totale de ceux-ci. Le groupe de travail, et en particulier le collège des consommateurs et usagers, a donc estimé nécessaire que soit également abordée la question des relations entre porteurs de carte et établissements de crédit dans le cadre de l’utilisation de ce moyen de paiement.
    A cet égard, le CNC demande :
    –  qu’une information plus systématique et plus efficace soit mise en place à destination des consommateurs sur le numéro unique de mise en opposition, en l’affichant de manière systématique sur les DAB et en rappelant l’existence des différents moyens de mise en opposition sur les relevés d’opérations tous les six mois ;
    –  qu’afin de faciliter et d’accélérer cette mise en opposition, elle puisse être faite par le porteur, pour une carte perdue ou volée, sans communication du numéro de carte, et donc dès le premier appel, et qu’un service de mise en opposition directe soit installé sur les nouvelles générations de distributeurs automatiques de billets ;
    –  que soit formalisée par les établissements de crédit, lorsque les dispositions législatives relatives à l’opposition à paiement auront été adaptées, l’existence d’un cas de contestation pour débit frauduleux (et non uniquement pour vol ou perte) et que soit inscrit dans le contrat porteur le droit du titulaire de carte de se faire rembourser, dans un délai d’un mois maximum, l’intégralité des frais subis (montant des transactions, agios le cas échéant, frais de mise en opposition et de renouvellement de carte) du fait d’un débit frauduleux lié à un dysfonctionnement du système (fraude liée à l’utilisation du numéro de carte ou d’une carte contrefaite, n’impliquant ni signature ni tabulation du code confidentiel) ;
    –  qu’un travail soit effectué sur l’ensemble des contrats porteurs de cartes bancaires afin de mettre ceux-ci en conformité avec les recommandations de la Commission des clauses abusives, en harmonisation avec les dispositions européennes (recommandations concernant les contrats porteurs cartes bancaires, mais également recommandations de caractère général sur les contrats) ;
    –  que soit mis en place à moyen terme des systèmes permettant aux porteurs de carte d’en lire la puce afin de disposer de la liste des opérations effectuées et de pouvoir ainsi justifier plus facilement de leur bonne foi en cas d’utilisation frauduleuse de leur carte ;
    –  que les commerçants, lors de la conclusion d’un contrat d’acceptation « vente à distance » soient informés de l’existence d’une clause de recréditation du porteur en cas de contestation de bonne foi de ce dernier ;
    –  que les consommateurs bénéficient d’une meilleure information sur leur contrat carte bancaire. C’est ainsi que, dès lors qu’il y aura modification des conditions substantielles du contrat porteur (constituant les conditions générales du contrat), celle-ci devra être systématiquement portée à la connaissance personnelle du client. De même, il devra être procédé à une information via les relevés de compte, sur tout changement des conditions particulières du contrat, et notamment des plafonds de retraits et de paiements.
    Les consommateurs devront également être sensibilisés et informés, selon les mêmes modalités, de l’étendue de la responsabilité du porteur en cas d’utilisation frauduleuse de la carte.
    Les organisations de consommateurs demandent que le montant de la franchise soit, en toute hypothèse, abaissé au seuil proposé par la Commission européenne de 150 Euro. Le CNC demande d’étudier cette perspective à terme dans le cadre du suivi du rapport.
    Le CNC demande aux pouvoirs publics d’intervenir auprès des autorités européennes afin que les Etats membres soient incités à opter rapidement pour des systèmes de paiement par cartes à puces, sécurisés techniquement et compatibles tant au sein de l’Union qu’au niveau international.
    Enfin, le CNC souhaite voir prendre les mesures qui s’imposent afin que soient plus sévèrement réprimés les agissements facilitant la fraude sur Internet, les actes d’intrusion dans les systèmes monétiques et la diffusion d’informations sur la contrefaçon des cartes de paiement. Il recommande également que le groupe de travail sur la sécurité des cartes bancaires soit à nouveau réuni au second semestre 2001 afin de faire le point sur l’état d’avancement des différentes recommandations présentées ci-dessus.
    Les membres du Conseil national de la consommation, réunis en séance plénière le 22 mars 2001, ont adopté l’avis à l’unanimité des deux collèges.


Ministre de l'Economie, des Finances et de l'Industrie- 22 juin 2001