SECURITE DU COMMERCE SUR INTERNET Murielle Cahen. «Sécurité du commerce sur internet». In : Avocat on line [En ligne]. http://www.murielle-cahen.com/publications/p_1securite.asp (consulté le 7/10/2013)
Table des matières 1)La signature électronique...1 2)Sécurité des paiements en ligne...2 3)Protection des consommateurs...3
L arrivée d internet a permis la mise en place du commerce en ligne, cependant, beaucoup d internautes ne se sont pas risqués à acheter en ligne, particulièrement à cause du paiement en ligne. Il a alors fallu sécuriser le commerce en ligne afin de faciliter les achats sur la toile. Mais comment le commerce sur internet a-t-il été sécurisé? Sécurité des échanges, confidentialité, authenticité sont les garanties exigées dans le commerce électronique. Des dispositions ont donc été prises pour protéger au maximum les consommateurs et les commerçants contre les usurpations, les non-paiements, toutes les fraudes qui peuvent sévir sur Internet. Ces dispositions concernent plus particulièrement la sécurité des paiements, la protection des consommateurs mais également la signature sécurisée des contrats de commerce électronique. 1) La signature électronique L article 1316-4 du code civil issu de la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique définit la signature électronique comme «l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache». C est le décret n 2001-272 du 30 mars 2001 qui impose le respect de certaines règles pour obtenir une signature électronique fiable. Son article 2 précise que «la fiabilité d un procédé de signature électronique est présumée jusqu à preuve du contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l utilisation d un certificat électronique». Il faut donc une signature électronique sécurisée. Pour cela, le décret exige notamment que le dispositif de création de la signature soit conforme à certaines exigences et que le matériel utilisé soit certifié. En effet, le dispositif de création de la signature doit garantir que les données de création de signature électronique sont protégées à la fois contre les falsifications, contre toute utilisation par un tiers, contre toute altération et que leur confidentialité est assurée. De plus, le dispositif doit avoir été certifié conforme à ces exigences soit par le Premier ministre dans les conditions prévues par le décret n 2002-535 du 18 avril 2002, soit par un organisme désigné à cet effet par un Etat membre de la Communauté européenne. ( article 3 du décret du 30 mars 2001 ) L évaluation du dispositif de création de signature électronique en vue de sa certification est réalisée par des centres d évaluation agréés par le 1er Ministre. C est le 1er Ministre qui délivre ensuite lui-même le certificat. L ensemble est placé sous la coordination des Services du Premier Ministre chargés de la sécurité et des systèmes d information (SCSSI). De plus, il faut recourir à un certificat électronique qualifié et délivré par un prestataire de service de qualification lui-même qualifié. Un certificat électronique ne sera considéré comme qualifié que s il respecte les conditions de l article 6 du décret du 30 mars 2001, il doit comporter un certain nombre d éléments et être délivré par un prestataire de service de qualification satisfaisant à certaines exigences. Il est prévu que pour être qualifié, le certificat doit comporter mention indiquant que le certificat est délivré à titre de certificat qualifié, il faut qu il contienne l identification du prestataire et son pays, le nom ou pseudonyme du signataire et éventuellement sa qualité, les données permettant la vérification de la signature, la durée de validité du certificat, son code d identité, la signature électronique du certificateur, ainsi que les limites quant à l utilisation de ce certificat. 09/10/13 Page 1
S agissant des prestataires de service de certification qui délivrent ces certificats qualifiés, ils doivent prouver leur fiabilité, et notamment faire appel à du personnel compétent et à des produits sécurisés. Ils se doivent de vérifier l identité et la qualité des personnes auxquelles ils délivrent des certificats. Ils sont censés disposer de ressources financières adéquates, lutter contre la contrefaçon des certificats, enregistrer les données pertinentes Il est même prévu que les prestataires de service de certification qui satisfont aux exigences fixées à l article 6 peuvent être demandés à être reconnus comme qualifiés. Il s agit d une accréditation. L accréditation permet une présomption de qualification des certificats car dés lors que les prestataires de certification sont qualifiés, les certificats qu ils délivrent sont présumés qualifiés et donc la signature électronique bénéficie d une présomption de fiabilité. Si l écrit électronique répond à toutes ces prescriptions, il fera pleine foi. En effet, l écrit signé électroniquement et de manière présumée fiable a la même valeur que l écrit signé de façon manuscrite Ce certificat ainsi qualifié établit un lien entre une personne physique ou morale dûment identifiée et une paire de clés asymétriques ( privée ou publique). On utilise en effet un procédé cryptographique pour garantir l authenticité du document et l identité du signataire. Actuellement seule une signature électronique basée sur la cryptographie asymétrique permet à une partie de se prévaloir de la présomption de fiabilité posée par l article 1316-4 al. 2 du code civil. Une cryptographie asymétrique est une cryptographie qui n'utilise pas les mêmes clés pour crypter et pour décrypter un message. On parle de système à clé publique/ clé privée. Son utilisation permet au destinataire du message de s assurer de l intégrité du message. 2) Sécurité des paiements en ligne Aujourd hui le moyen de paiement le plus largement utilisé pour les achats en ligne est la carte bancaire avec plus de 80 % des paiements. Le moyen le plus répandu est l utilisation de la carte bancaire avec transmission du numéro de carte sur le réseau, en utilisant le chiffrement SSL (secure socket layer) développé par Nescape en 1996. Les informations communiquées ( numéro de carte, date d expiration ) ne sont pas divulguées au commerçant, c est uniquement la banque qui dispose de ces informations. Le protocole SSL crypte les données suivant deux clés de 128 bits. L interception du numéro devient donc impossible. D autres moyens de paiement sécurisés existent comme : - Le protocole SET qui permet l'authentification de toutes les parties grâce à l'échange de signatures électroniques. Il protége les données transmises par le client lors de la transaction et empêche l'envoi des données bancaires confidentielles au logiciel marchand du commerçant. La carte bleue virtuelle ou la e-carte bleue : la banque attribue à son client un numéro de carte à usage unique, cela évite la circulation du numéro de la carte bancaire. Le chèque virtuel : chaque chèque est affecté d un numéro à usage unique avec un système d identification électronique, il est même dorénavant possible de créer ses propres chèques sur son ordinateur (Netchex) en mettant au préalable en place un système de sécurité. Le dispositif Sympass : la société Sympass a développé un système utilisant à la fois le clavier de l ordinateur et le clavier du téléphone. En effet, pour payer, l internaute va saisir les huit premiers chiffres de sa carte bancaire ainsi qu un numéro de téléphone, il va alors recevoir un appel téléphonique et devra saisir les huit derniers chiffres de sa carte sur le clavier du téléphone. Les fraudeurs ne désirant pas faire connaître leur numéro de téléphone, la fraude est inexistante dans 09/10/13 Page 2
ce système. La solution ID tronic de la caisse d épargne : ce système permet d acheter avec une carte bancaire sans en donner le numéro. Il faut, au préalable s inscrire au service en envoyant ses coordonnées, son numéro de portable et un RIB. Lors du paiement, le client entrera un code fourni ou son adresse de messagerie électronique, il recevra alors un sms sur son téléphone sur lequel figurera un mot de passe. Il devra alors saisir le mot de passe sur l écran de paiement en ligne, le paiement sera alors confirmé et l identité de l acheteur authentifiée. Le cash back : ce système permet au consommateur de gagner de l argent. En effet, l internaute se verra soit reversé une partie du montant payé, soit une somme sera mise à sa disposition pour l achat de biens et services sur des sites partenaires. En est un exemple le ebuyclub, un certain nombre de sites cybermarchands sont partenaires et pour tout achat effectué sur un de ces sites, une partie du montant variant entre 1 et 15 % est reversé au consommateur. Il est même possible que les internautes créent des équipes et chaque achat d un membre de l équipe rapporte de l argent. Le porte monnaie électronique : Le porte-monnaie électronique consiste en une carte de paiement prépayée, c est-à dire sur laquelle une certaine somme d argent a été chargée, permettant le règlement d une multitude de services (" plate-forme "). Une réserve financière sera donc " stockée " sur le microprocesseur de la carte. Le système Paynova permet au consommateur d utiliser un porte-monnaie virtuel sur différends sites Internet Il doit donner ses coordonnées dont son adresse de messagerie et crédite son portemonnaie grâce à sa carte bancaire. Il peut ensuite faire ses achats en ligne. Il existe aussi le porte-monnaie électronique post payé : click&buy, l internaute fait ses achats puis est débité une fois par mois du total de ses dépenses. 3) Protection des consommateurs En cas de fraude à la carte bancaire, le porteur peut obtenir le remboursement des débits frauduleux et des frais occasionnés en s'adressant auprès de sa banque. Le consommateur doit contester, par écrit, le prélèvement auprès de sa banque, dans le délai de 70 jours qui suit l opération, voire 120 jours si le contrat le liant à celle-ci le prévoit. La banque sera ensuite tenue de procéder au crédit du compte dans un délai d un mois qui suit la réception de la contestation. Le code monétaire et financier prévoit en effet dans ses articles L.132-4 et L.132-6 que «La responsabilité du titulaire d'une carte n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte.» et que «le délai légal pendant lequel le titulaire d'une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date de l'opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours à compter de l'opération contestée.» La loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés protège le consommateur contre le traitement des données à caractère personnel, c est à dire le traitement de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Les personnes dont les données personnelles font l objet d un traitement bénéficient notamment d un droit d accès à la totalité des données qui le concernent. Toutefois, si le traitement intéresse la 09/10/13 Page 3
sûreté de l Etat, la sécurité publique, elles n ont pas un droit d accès direct et doivent s adresser à la Commission nationale de l informatique et des libertés (CNIL). L article 40 de la loi n 78-17 du 6 janvier 1978 octroie un droit de contestation et de rectification. «Toute personne physique justifiant de son identité peut exiger du responsable d un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l utilisation, la communication ou la conservation est interdite.» De plus, «Toute personne physique a le droit de s opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l objet d un traitement.» ( article 38 de la loi du 6 janvier 1978). Le fait de ne pas respecter le droit d opposition est une infraction pénale prévue à l article 226-13-1 du code pénal et est puni de cinq ans d emprisonnement et de 300 000 euros d amende. Les responsables des traitements ont quant à eux certaines obligations à respecter. Ils doivent le plus souvent obtenir le consentement des personnes concernées, celles-ci doivent être informées de l identité du responsable du traitement, de la destination des données, de leur finalité, des droits que la loi leur accorde. La loi condamne pénalement la collecte déloyale, frauduleuse ou illicite d informations nominatives. De plus, il est interdit de collecter certaines données, notamment celles «qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci». Les responsables ont des procédures de déclaration ou d autorisation à faire auprès de la CNIL. Celle-ci vérifie que la loi est respectée et accorde ou non les autorisations demandées. Elle s attarde particulièrement sur la finalité des traitements, les destinataires visés et les précautions mises en œuvre pour préserver l intégrité des données. La CNIL a des pouvoirs de sanction, elle peut prononcer un avertissement à l égard du responsable d un traitement qui ne respecte pas les obligations découlant de la loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu elle fixe. A défaut de réaction de la part du responsable, la CNIL peut prononcer des sanctions comme une sanction pécuniaire, le verrouillage de certaines données ou l interruption de la mise en œuvre du traitement pour une certaine durée. Le code pénal réprime les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques dans ses articles 226-16 à 226-24. Le code pénal réprime notamment toute mise en œuvre de traitements automatisés d informations nominatives sans respecter toutes les formalités légales préalables et toute mise en œuvre desdits traitements sans prendre les précautions nécessaires à la préservation de la sécurité des informations nominatives. Aussi, la loi sur la confiance en l économie numérique du 21 juin 2004 «interdit la prospection directe au moyen d un automate d appel, d un télécopieur ou d un courrier électronique utilisant, sous quelque forme que ce soit les coordonnées, d une personne physique qui n a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen» Le consommateur est donc protégé contre les communications commerciales non sollicitées. 09/10/13 Page 4
Malgré ces dispositions, la sécurité dépend beaucoup du comportement des consommateurs. Il est fait appel à leur vigilance. En France, vu l augmentation des attaques, le Forum des droits sur l Internet a rappelé des conseils de vigilance aux internautes : 1/ ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ; 2/ toujours vérifier, dans la barre d adresse du navigateur, l adresse du site internet avant de saisir les informations demandées ; 3/ toujours partir de la page d accueil d un site pour accéder aux autres pages, notamment celles où sont demandées des identifiants ; 4/ lors de la consultation de sites sécurisés (sites bancaires, par exemple), s assurer de l activation du cryptage des données (l adresse du site doit commencer par https et non par http) 5/ en cas de doute, prendre contact directement avec l entreprise concernée (votre banque, votre fournisseur d accès à l internet, etc.) pour lui signaler le message suspect. 09/10/13 Page 5