Le climat de confiance entre les cybermarchands et les internautes passe par le respect de la loi Informatique et libertés.
L’e-commerce ne peut prospérer que dans la mesure où les cybermarchands sauront comment rassurer les internautes lorsqu’ils effectuent des achats.
Pour cela, plusieurs prestataires proposent aux internautes d’acheter en toute sécurité en labellisant des sites internet de cybermarchands. Autrement dit, ils proposent plus de sécurité pour plus de confiance. De ce fait, le site du cybermarchand devient digne de confiance pour les internautes.
Parallèlement, ces prestataires développent des services permettant de rassurer les cybermarchands sur leurs cyberacheteurs.
C’est dans ce contexte que la société Fia-Net, prestataire dont l’activité est de créer « un climat de confiance entre acheteurs et vendeurs sur internet », propose le service « Certissim » qui permettrait aux cybermarchands de sécuriser leurs ventes et de maîtriser les impayés en bénéficiant :
- de l’évaluation automatique des commandes.
- du retraitement des commandes à risque.
- de l’assurance contre les impayés.
Un des services est donc de permettre aux cybermarchands de bénéficier d’une évaluation automatique des commandes des cyberacheteurs, traitant ainsi des données à caractère personnel de ces cyberacheteurs.
Or ce traitement de données à caractère personnel est très sensible du fait :
- qu’il s’agit d’un traitement automatisé susceptible d’exclure le cyberacheteur du bénéfice d’un droit de commander sur le site du cybermarchand.
- qu’il permet la constitution de « liste noire » ou « black liste ».
Ce traitement de données doit donc présenter des garanties très fortes au titre de la loi Informatique et libertés et être soumis à l’autorisation préalable de la Cnil (article 25 de la loi Informatique et libertés).
L’une des contraintes forte que doit respecter Fia-Net est la mise à jour de ce fichier « liste noire ». Selon le site internet de Fia-Net, cette société disposerait d’une base de données de 15 millions d’internautes. Fia-Net s’engage à mettre à jour quotidiennement cette base de données.
Or, un cyberacheteur a porté plainte contre Fia-Net du fait de la non-effectivité de son droit d’accès, de modification et de suppression de ses données à caractère personnel. Cette plainte dévoilerait que la base de données de Fia-Net ne serait pas en conformité avec les dispositions de la loi Informatique et libertés.
En effet, cela ferait plus de trois ans que ce cyberacheteur serait black listé et qu’ « il ne peut plus acheter sur les sites qui font appel à Fia-Net, que ce soit pour des achats de 50 euros ou un frigo récemment » (propos recueillis par le Monde auprès de ce cyberacheteur).
Cette plainte n’étant pas isolée, la Cnil procède, depuis l’an dernier à un contrôle de la société Fia-Net, dont l’offre Certissim est pourtant toujours disponible en ligne sur le site de Fia-Net qui se défend de ne pas respecter la loi Informatique et libertés.
Dans l’attente des conclusions de la Cnil sur cette enquête, il faut rester vigilent car les contrôles pourraient s’étendre à d’autres prestataires de confiance mais également aux cybermarchands.
La mission de la Cnil étant notamment de rappeler aux acteurs de l’e-commerce qu’ils ne peuvent pas ignorer la loi Informatique et libertés, qu’ils soient marchands ou prestataires.
Il est alors vivement recommandé :
- aux prestataires de confiance et de sécurité :
- de mettre en place les processus garantissant l’effectivité du droit des personnes sur la mise à jour de leurs fichiers de données à caractère personnel.
- d’auditer les formalités préalables réalisées auprès de la Cnil et en particulier les demandes d’autorisation.
- aux clients de Fia-Net de veiller à :
- mettre leur site internet en conformité à la loi Informatique et libertés ainsi qu’à la loi pour la confiance dans l’économie numérique. En effet, pour rappel, la Cnil et la DGCCRF ont conclu des accords depuis janvier 2011 pour mettre en commun leurs ressources et optimiser leurs opérations de contrôles.
- s’assurer que la loi Informatique et libertés est bien respectée lors de la mise en œuvre de leurs fichiers de données à caractère personnel.