En 2015, le marché du e-commerce aux particuliers a représenté plus de 56 milliards d’euros. Le moyen de paiement le plus utilisé est la carte bancaire. 81% des acheteurs en ligne règlent leurs achats de cette manière.[1] Les paiements à distance, bien qu’ils ne représentent que 11,6% de la valeur des transactions domestiques, comptent pour plus de 66,5% du montant de la fraude en 2014[2].
Chaque cybermarchand, chaque internaute doit ainsi être sensibilisé à ce risque majeur qui pose de nombreuses questions.
Qu’est-ce que la fraude au paiement ?
Par fraude, il convient d’entendre toute utilisation illégitime d’une carte de paiement ou des données qui lui sont rattachées[3]. Elle a plusieurs origines (l’utilisation frauduleuse d’une carte bancaire perdue ou volée, l’usurpation d’un numéro de carte etc.) et s’appuie sur plusieurs techniques (hameçonnage ou phishing, usurpation d’identité, moulinage, piratage etc.)[4].
Quelles sont les techniques utilisées par les fraudeurs ?
La technique du hameçonnage consiste à obtenir les données personnelles d’une personne à travers des courriels renvoyant la personne vers un site internet frauduleux ayant l’apparence d’un véritable site internet (site miroir).
Celle du moulinage est une fraude consistant à générer des numéros de carte bancaire et effectuer des paiements.
Le piratage des systèmes automatisés de données, de serveurs ou de réseaux, quant à lui, est l’intrusion frauduleuse dans ces systèmes afin d’y récupérer des données.
Comment le droit appréhende-t-il ces techniques de fraude ?
Les typologies des infractions commises par les fraudeurs sont les suivantes :
- l’escroquerie. Celle-ci est définie à l’article 313-1 du code pénal comme «le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge». Elle est punie de 5 ans d’emprisonnement et 375 000 euros d’amende.
- L’usurpation d’identité. C’est le fait d’utiliser l’identité d’une autre personne. La personne dont on a usurpé l’identité n’a pas réalisé le paiement mais a été débitée sur son compte bancaire. Le code pénal qualifie l’usurpation d’identité comme « le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales» (article 434-23 alinéa 1 du Code pénal). Cette infraction est punie de 5 ans d’emprisonnement et 75 000 euros d’amende.
- Le piratage des systèmes automatisés de données, de serveurs ou de réseaux est réprimé aux articles 323-1 et suivants du code pénal. Accéder et se maintenir frauduleusement dans un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende (article 323-1 du code pénal). Entraver ou fausser son fonctionnement est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (article 323-2 du même code). Introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (article 323-3 dudit code).
- La collecte illicite de données (Art. 226-18 et s. Code pénal) : Les données bancaires sont des données à caractère personnel, comme défini par l’article 2 de la loi du 6 janvier 1978. Le code pénal prévoit, en son l’article 226-18, que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
Ces infractions sont des délits, le délai de prescription pour porter plainte est de trois ans à compter du jour de commission de l’infraction.
Quelles actions ? Quels recours pour l’internaute ?
Les recours pour la personne victime de ces agissements frauduleux sont le dépôt de plainte et une action auprès de leur banque pour obtenir le remboursement. En effet, l’article L133-24 du code monétaire et financier prévoit que la personne qui a subi une opération de paiement non autorisé ou mal exécuté a un délai de 13 mois à compter de la date de débit pour signaler l’opération à sa banque. La banque remboursera alors immédiatement la personne du montant de l’opération non autorisée (article L.133-18 du code monétaire et financier).
La section opérationnelle de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), rattachée à la Sous-direction de lutte contre la cybercriminalité, est notamment chargée de la répression des infractions liées aux atteintes aux systèmes de traitement automatisé de données et aux escroqueries commises sur internet.
La personne peut aussi prendre contact avec son assureur pour savoir si elle est assurée contre ce type de délit.
Quels enjeux, quelles mesures prendre pour les Cybermarchands ?
En tant que responsable des traitements de données opérés via leurs boutiques en ligne, les Cybermarchands sont directement responsables des failles de sécurité pouvant intervenir.
L’article 34 de la loi informatique et libertés impose en effet à chaque responsable de traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Afin de remplir cette obligation légale qui sera prochainement renforcée par le Règlement Européen sur la protection des données à caractère personnel [5] chaque cybermarchand pourra utilement envisager la mise en œuvre des mesures suivantes :
- Procéder à un audit Juridique et Technique de son site (respect de la loi informatique et libertés, tests d’intrusion et de sécurité du site et des applications associées);
- Mettre en place en interne un « référentiel sécurité »[6] incluant notamment :
- Une Charte Utilisateurs des Systèmes d’Informations
- Une Politique de Gestion des Incidents
- Une Politique d’Habilitation
- Auditer la solution de paiement mise en place sur la boutique en ligne et les conditions contractuelles associées
- Mettre en place une veille sur internet (veille concurrentielle) notamment pour identifier les cas de phishing
- Sensibiliser les clients au risque informatique dans le cadre des CGV et autres mentions d’information sur le site (Notamment via la mise en ligne d’une Politique de Confidentialité)
Vous souhaitez nous contacter pour la mise en œuvre de ces mesures ? Cliquez ICI.
[1] Chiffres clés 2015 de la Fédération e-commerce et vente à distance (Fevad)
[2] Rapport annuel de l’Observatoire de la sécurité des cartes de paiement 2014, p19
[3] Rapport annuel de l’Observatoire de la sécurité des cartes de paiement 2014, p 63
[4] Rapport annuel de l’Observatoire de la sécurité des cartes de paiement 2014, p64
[5] Cf. https://www.haas-avocats.com/ecommerce/vie-privee-protection-des-donnees-qui-changer-2016-partie-une-obligation-securite-renforcee/?nabe=5782488554143744:1
[6] https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/?nabe=5782488554143744:1&utm_referrer=https%3A%2F%2Fwww.google.fr%2F