SECURITE DU COMMERCE SUR INTERNET



Documents pareils
«Marketing /site web et la protection des données à caractère personnel»

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Les données à caractère personnel

Le contexte. 1) Sécurité des paiements et protection du consommateur

CARACTÉRISTIQUES DES PRODUITS ET DES PRESTATIONS VENDUS

Commission nationale de l informatique et des libertés

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

9 RÉFLEXES SÉCURITÉ

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Management et Productivité des TIC

Cadre juridique de la Protection des Données à caractère Personnel

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

GUIDE LA PUB SI JE VEUX!

COMMUNICATION POLITIQUE ObligationS légales

Le CHARTE DE BON USAGE DES RESSOURCES INFORMATIQUES DU

et développement d applications informatiques

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Faire ses achats en ligne en toute sécurité. Avril 2013

Service de certificat

CONDITIONS GENERALES DE VENTE EUROPA ORGANISATION PARTICIPANTS

Conditions générales de vente OPHOS SYSTEM Hébergement Mutualisé version janvier 2007

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Sommaire. 1. Préambule

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

Conditions Générales de Vente du site

JE MONTE UN SITE INTERNET

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Loi n du relative à la protection des données à caractère personnel

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

CODE PROFESSIONNEL. déontologie

Directive cadre du groupe. Protection des données des clients et des partenaires.

Être plus proche, mais pas à n importe quel prix

Les fiches déontologiques Multicanal

CONDITIONS GENERALES DE VENTE

Exemple de directives relatives à l utilisation du courrier électronique et d Internet au sein de l'entreprise

GUIDE DE L'UTILISATEUR AVERTI

Conditions Générales d'utilisation du compte V lille

Photos et Droit à l image

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

CONFERENCE ESPACE MULTIMEDIA LE MULOT Maurepas, le 23 novembre Dominique DAMO, Avocat

Article 1. Enregistrement d un nom de domaine

Réaliser des achats en ligne

REGLEMENT DE LA CARTE RECOMPENSES

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Loi n du 7 juillet 1993 relative à la participation des organismes financiers à la lutte contre le blanchiment de capitaux

Big Data: les enjeux juridiques

Ces conditions de vente prévaudront sur toutes autres conditions générales ou particulières non expressément agréées par SUD LOGICIEL GESTION.

Paiements, les paiements échelonnés, le calcul des intérêts et la facturation mensuelle

Conditions Générales d Utilisation

Internet et les produits financiers

La payement par Carte Bancaire sur Internet

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

CONTRAT PORTEUR CARTES BANCAIRES

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Conditions générales de vente et d utilisation de la plateforme MailForYou à compter du 27 janvier 2015

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Conditions Générales de Vente

14.1. Paiements et achats en ligne

le Fichier central des chèques (FCC) et le Fichier national des chèques irréguliers (FNCI),

Charte d hébergement de site web

CONTRAT PORTEUR DISPOSITIF DE SÉCURITÉ PERSONNALISÉ OU CODE CONFIDENTIEL... 3 FORME DU CONSENTEMENT ET IRRÉVOCABILITÉ... 4

Conditions générales de vente e-commerce.

Quelles informations votre banquier détient-il sur vous? Pourquoi refuse-t-il de vous fournir une carte bancaire ou un chéquier?

2.1 Les présentes conditions générales régissent les conditions de vente et d utilisation de Ticket Premium.

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

La protection de vos données personnelles

L Adhérent s engage à fournir des informations exactes et sera seul responsable de la fourniture d informations erronées.

Règlement du Jeu SFR La Carte «Recharger peut vous rapporter gros!»

Coupez la ligne des courriels hameçons

Acheter sur internet: réglementation et contrôle, pièges à éviter, conseils utiles

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

REPUBLIQUE FRANCAISE AU NOM DU PEUPLE FRANCAIS. LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l arrêt suivant :

LES GUIDES DE LA CNIL HALTE AUX PUBLICITÉS EDITION JANVIER 2005 COMMISSION NATIONALE DE L INFORMATIQUE

Conditions générales d utilisation

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Maîtriser son identité numérique. Michel Futtersack, Faculté de Droit, Université Paris Descartes

CONDITIONS GENERALES DE VENTE ET D UTILISATION DE SNCF TER NFC

PROGRAMME Acheter en ligne Défendre ses droits Payer ses achats Attention aux offres mirifiques

Charte s (Version V2)

Toute utilisation du site doit respecter les présentes conditions d utilisation.

Conditions générales d'adhésion au programme d'affiliation

Conditions Générales d Utilisation de la plateforme depot-doublage.fr

Les paiements sur l internet. Deuxième rapport de l Observatoire de la Cyber-Consommation

LOI N du 14 janvier (JO n 2966 du , p.3450) CHAPITRE PREMIER DE LA PREVENTION DES INFRACTIONS

SAXO BANque. Offre spéciale TalenTs du Trading INSTRUCTIONS POUR REMPLIR CE FORMULAIRE

GLOSSAIRE des opérations bancaires courantes

Les autorités judiciaires françaises n ont pas mis en œuvre de politique nationale de prévention dans ce domaine.

Conditions d'utilisation de la plateforme Défi papiers

REGLEMENT D UTILISATION

COMPTE EPARGNE LOGEMENT. Une épargne constructive. Conditions Générales

Article 1 : Société organisatrice Article 2 : Acceptation Article 3 : Nature de l opération Article 4 : Modalités de participation

BULLETIN DES LOIS ET DECRETS DU GOUVERNEMENT DU CHILI. Livre XXVIII Numéro 6. Ministère des Finances. Les banques d émission 1

Charte d'hébergement des sites Web

Conditions générales de Ventes sur Internet

Transcription:

SECURITE DU COMMERCE SUR INTERNET Murielle Cahen. «Sécurité du commerce sur internet». In : Avocat on line [En ligne]. http://www.murielle-cahen.com/publications/p_1securite.asp (consulté le 7/10/2013)

Table des matières 1)La signature électronique...1 2)Sécurité des paiements en ligne...2 3)Protection des consommateurs...3

L arrivée d internet a permis la mise en place du commerce en ligne, cependant, beaucoup d internautes ne se sont pas risqués à acheter en ligne, particulièrement à cause du paiement en ligne. Il a alors fallu sécuriser le commerce en ligne afin de faciliter les achats sur la toile. Mais comment le commerce sur internet a-t-il été sécurisé? Sécurité des échanges, confidentialité, authenticité sont les garanties exigées dans le commerce électronique. Des dispositions ont donc été prises pour protéger au maximum les consommateurs et les commerçants contre les usurpations, les non-paiements, toutes les fraudes qui peuvent sévir sur Internet. Ces dispositions concernent plus particulièrement la sécurité des paiements, la protection des consommateurs mais également la signature sécurisée des contrats de commerce électronique. 1) La signature électronique L article 1316-4 du code civil issu de la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique définit la signature électronique comme «l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache». C est le décret n 2001-272 du 30 mars 2001 qui impose le respect de certaines règles pour obtenir une signature électronique fiable. Son article 2 précise que «la fiabilité d un procédé de signature électronique est présumée jusqu à preuve du contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l utilisation d un certificat électronique». Il faut donc une signature électronique sécurisée. Pour cela, le décret exige notamment que le dispositif de création de la signature soit conforme à certaines exigences et que le matériel utilisé soit certifié. En effet, le dispositif de création de la signature doit garantir que les données de création de signature électronique sont protégées à la fois contre les falsifications, contre toute utilisation par un tiers, contre toute altération et que leur confidentialité est assurée. De plus, le dispositif doit avoir été certifié conforme à ces exigences soit par le Premier ministre dans les conditions prévues par le décret n 2002-535 du 18 avril 2002, soit par un organisme désigné à cet effet par un Etat membre de la Communauté européenne. ( article 3 du décret du 30 mars 2001 ) L évaluation du dispositif de création de signature électronique en vue de sa certification est réalisée par des centres d évaluation agréés par le 1er Ministre. C est le 1er Ministre qui délivre ensuite lui-même le certificat. L ensemble est placé sous la coordination des Services du Premier Ministre chargés de la sécurité et des systèmes d information (SCSSI). De plus, il faut recourir à un certificat électronique qualifié et délivré par un prestataire de service de qualification lui-même qualifié. Un certificat électronique ne sera considéré comme qualifié que s il respecte les conditions de l article 6 du décret du 30 mars 2001, il doit comporter un certain nombre d éléments et être délivré par un prestataire de service de qualification satisfaisant à certaines exigences. Il est prévu que pour être qualifié, le certificat doit comporter mention indiquant que le certificat est délivré à titre de certificat qualifié, il faut qu il contienne l identification du prestataire et son pays, le nom ou pseudonyme du signataire et éventuellement sa qualité, les données permettant la vérification de la signature, la durée de validité du certificat, son code d identité, la signature électronique du certificateur, ainsi que les limites quant à l utilisation de ce certificat. 09/10/13 Page 1

S agissant des prestataires de service de certification qui délivrent ces certificats qualifiés, ils doivent prouver leur fiabilité, et notamment faire appel à du personnel compétent et à des produits sécurisés. Ils se doivent de vérifier l identité et la qualité des personnes auxquelles ils délivrent des certificats. Ils sont censés disposer de ressources financières adéquates, lutter contre la contrefaçon des certificats, enregistrer les données pertinentes Il est même prévu que les prestataires de service de certification qui satisfont aux exigences fixées à l article 6 peuvent être demandés à être reconnus comme qualifiés. Il s agit d une accréditation. L accréditation permet une présomption de qualification des certificats car dés lors que les prestataires de certification sont qualifiés, les certificats qu ils délivrent sont présumés qualifiés et donc la signature électronique bénéficie d une présomption de fiabilité. Si l écrit électronique répond à toutes ces prescriptions, il fera pleine foi. En effet, l écrit signé électroniquement et de manière présumée fiable a la même valeur que l écrit signé de façon manuscrite Ce certificat ainsi qualifié établit un lien entre une personne physique ou morale dûment identifiée et une paire de clés asymétriques ( privée ou publique). On utilise en effet un procédé cryptographique pour garantir l authenticité du document et l identité du signataire. Actuellement seule une signature électronique basée sur la cryptographie asymétrique permet à une partie de se prévaloir de la présomption de fiabilité posée par l article 1316-4 al. 2 du code civil. Une cryptographie asymétrique est une cryptographie qui n'utilise pas les mêmes clés pour crypter et pour décrypter un message. On parle de système à clé publique/ clé privée. Son utilisation permet au destinataire du message de s assurer de l intégrité du message. 2) Sécurité des paiements en ligne Aujourd hui le moyen de paiement le plus largement utilisé pour les achats en ligne est la carte bancaire avec plus de 80 % des paiements. Le moyen le plus répandu est l utilisation de la carte bancaire avec transmission du numéro de carte sur le réseau, en utilisant le chiffrement SSL (secure socket layer) développé par Nescape en 1996. Les informations communiquées ( numéro de carte, date d expiration ) ne sont pas divulguées au commerçant, c est uniquement la banque qui dispose de ces informations. Le protocole SSL crypte les données suivant deux clés de 128 bits. L interception du numéro devient donc impossible. D autres moyens de paiement sécurisés existent comme : - Le protocole SET qui permet l'authentification de toutes les parties grâce à l'échange de signatures électroniques. Il protége les données transmises par le client lors de la transaction et empêche l'envoi des données bancaires confidentielles au logiciel marchand du commerçant. La carte bleue virtuelle ou la e-carte bleue : la banque attribue à son client un numéro de carte à usage unique, cela évite la circulation du numéro de la carte bancaire. Le chèque virtuel : chaque chèque est affecté d un numéro à usage unique avec un système d identification électronique, il est même dorénavant possible de créer ses propres chèques sur son ordinateur (Netchex) en mettant au préalable en place un système de sécurité. Le dispositif Sympass : la société Sympass a développé un système utilisant à la fois le clavier de l ordinateur et le clavier du téléphone. En effet, pour payer, l internaute va saisir les huit premiers chiffres de sa carte bancaire ainsi qu un numéro de téléphone, il va alors recevoir un appel téléphonique et devra saisir les huit derniers chiffres de sa carte sur le clavier du téléphone. Les fraudeurs ne désirant pas faire connaître leur numéro de téléphone, la fraude est inexistante dans 09/10/13 Page 2

ce système. La solution ID tronic de la caisse d épargne : ce système permet d acheter avec une carte bancaire sans en donner le numéro. Il faut, au préalable s inscrire au service en envoyant ses coordonnées, son numéro de portable et un RIB. Lors du paiement, le client entrera un code fourni ou son adresse de messagerie électronique, il recevra alors un sms sur son téléphone sur lequel figurera un mot de passe. Il devra alors saisir le mot de passe sur l écran de paiement en ligne, le paiement sera alors confirmé et l identité de l acheteur authentifiée. Le cash back : ce système permet au consommateur de gagner de l argent. En effet, l internaute se verra soit reversé une partie du montant payé, soit une somme sera mise à sa disposition pour l achat de biens et services sur des sites partenaires. En est un exemple le ebuyclub, un certain nombre de sites cybermarchands sont partenaires et pour tout achat effectué sur un de ces sites, une partie du montant variant entre 1 et 15 % est reversé au consommateur. Il est même possible que les internautes créent des équipes et chaque achat d un membre de l équipe rapporte de l argent. Le porte monnaie électronique : Le porte-monnaie électronique consiste en une carte de paiement prépayée, c est-à dire sur laquelle une certaine somme d argent a été chargée, permettant le règlement d une multitude de services (" plate-forme "). Une réserve financière sera donc " stockée " sur le microprocesseur de la carte. Le système Paynova permet au consommateur d utiliser un porte-monnaie virtuel sur différends sites Internet Il doit donner ses coordonnées dont son adresse de messagerie et crédite son portemonnaie grâce à sa carte bancaire. Il peut ensuite faire ses achats en ligne. Il existe aussi le porte-monnaie électronique post payé : click&buy, l internaute fait ses achats puis est débité une fois par mois du total de ses dépenses. 3) Protection des consommateurs En cas de fraude à la carte bancaire, le porteur peut obtenir le remboursement des débits frauduleux et des frais occasionnés en s'adressant auprès de sa banque. Le consommateur doit contester, par écrit, le prélèvement auprès de sa banque, dans le délai de 70 jours qui suit l opération, voire 120 jours si le contrat le liant à celle-ci le prévoit. La banque sera ensuite tenue de procéder au crédit du compte dans un délai d un mois qui suit la réception de la contestation. Le code monétaire et financier prévoit en effet dans ses articles L.132-4 et L.132-6 que «La responsabilité du titulaire d'une carte n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte.» et que «le délai légal pendant lequel le titulaire d'une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date de l'opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours à compter de l'opération contestée.» La loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés protège le consommateur contre le traitement des données à caractère personnel, c est à dire le traitement de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Les personnes dont les données personnelles font l objet d un traitement bénéficient notamment d un droit d accès à la totalité des données qui le concernent. Toutefois, si le traitement intéresse la 09/10/13 Page 3

sûreté de l Etat, la sécurité publique, elles n ont pas un droit d accès direct et doivent s adresser à la Commission nationale de l informatique et des libertés (CNIL). L article 40 de la loi n 78-17 du 6 janvier 1978 octroie un droit de contestation et de rectification. «Toute personne physique justifiant de son identité peut exiger du responsable d un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l utilisation, la communication ou la conservation est interdite.» De plus, «Toute personne physique a le droit de s opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l objet d un traitement.» ( article 38 de la loi du 6 janvier 1978). Le fait de ne pas respecter le droit d opposition est une infraction pénale prévue à l article 226-13-1 du code pénal et est puni de cinq ans d emprisonnement et de 300 000 euros d amende. Les responsables des traitements ont quant à eux certaines obligations à respecter. Ils doivent le plus souvent obtenir le consentement des personnes concernées, celles-ci doivent être informées de l identité du responsable du traitement, de la destination des données, de leur finalité, des droits que la loi leur accorde. La loi condamne pénalement la collecte déloyale, frauduleuse ou illicite d informations nominatives. De plus, il est interdit de collecter certaines données, notamment celles «qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci». Les responsables ont des procédures de déclaration ou d autorisation à faire auprès de la CNIL. Celle-ci vérifie que la loi est respectée et accorde ou non les autorisations demandées. Elle s attarde particulièrement sur la finalité des traitements, les destinataires visés et les précautions mises en œuvre pour préserver l intégrité des données. La CNIL a des pouvoirs de sanction, elle peut prononcer un avertissement à l égard du responsable d un traitement qui ne respecte pas les obligations découlant de la loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu elle fixe. A défaut de réaction de la part du responsable, la CNIL peut prononcer des sanctions comme une sanction pécuniaire, le verrouillage de certaines données ou l interruption de la mise en œuvre du traitement pour une certaine durée. Le code pénal réprime les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques dans ses articles 226-16 à 226-24. Le code pénal réprime notamment toute mise en œuvre de traitements automatisés d informations nominatives sans respecter toutes les formalités légales préalables et toute mise en œuvre desdits traitements sans prendre les précautions nécessaires à la préservation de la sécurité des informations nominatives. Aussi, la loi sur la confiance en l économie numérique du 21 juin 2004 «interdit la prospection directe au moyen d un automate d appel, d un télécopieur ou d un courrier électronique utilisant, sous quelque forme que ce soit les coordonnées, d une personne physique qui n a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen» Le consommateur est donc protégé contre les communications commerciales non sollicitées. 09/10/13 Page 4

Malgré ces dispositions, la sécurité dépend beaucoup du comportement des consommateurs. Il est fait appel à leur vigilance. En France, vu l augmentation des attaques, le Forum des droits sur l Internet a rappelé des conseils de vigilance aux internautes : 1/ ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ; 2/ toujours vérifier, dans la barre d adresse du navigateur, l adresse du site internet avant de saisir les informations demandées ; 3/ toujours partir de la page d accueil d un site pour accéder aux autres pages, notamment celles où sont demandées des identifiants ; 4/ lors de la consultation de sites sécurisés (sites bancaires, par exemple), s assurer de l activation du cryptage des données (l adresse du site doit commencer par https et non par http) 5/ en cas de doute, prendre contact directement avec l entreprise concernée (votre banque, votre fournisseur d accès à l internet, etc.) pour lui signaler le message suspect. 09/10/13 Page 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back