Cybermarchands : protégez-vous contre la fraude au paiement

En 2015, le marché du e-commerce aux particuliers a représenté plus de 56 milliards d’euros. Le moyen de paiement le plus utilisé est la carte bancaire. 81% des acheteurs en ligne règlent leurs achats de cette manière.[1] Les paiements à distance, bien qu’ils ne représentent que 11,6% de la valeur des transactions domestiques, comptent pour plus de 66,5% du montant de la fraude en 2014[2].

Chaque cybermarchand, chaque internaute doit ainsi être sensibilisé à ce risque majeur qui pose de nombreuses questions.

Qu’est-ce que la fraude au paiement ?

Par fraude, il convient d’entendre toute utilisation illégitime d’une carte de paiement ou des données qui lui sont rattachées[3]. Elle a plusieurs origines (l’utilisation frauduleuse d’une carte bancaire perdue ou volée, l’usurpation d’un numéro de carte etc.) et s’appuie sur plusieurs techniques (hameçonnage ou phishing, usurpation d’identité, moulinage, piratage etc.)[4].

Quelles sont les techniques utilisées par les fraudeurs ?

La technique du hameçonnage consiste à obtenir les données personnelles d’une personne à travers des courriels renvoyant la personne vers un site internet frauduleux ayant l’apparence d’un véritable site internet (site miroir).

Celle du moulinage est une fraude consistant à générer des numéros de carte bancaire et effectuer des paiements.

Le piratage des systèmes automatisés de données, de serveurs ou de réseaux, quant à lui, est l’intrusion frauduleuse dans ces systèmes afin d’y récupérer des données.

Comment le droit appréhende-t-il ces techniques de fraude ?

Les typologies des infractions commises par les fraudeurs sont les suivantes :

Ces infractions sont des délits, le délai de prescription pour porter plainte est de trois ans à compter du jour de commission de l’infraction.

Quelles actions ? Quels recours pour l’internaute ?

Les recours pour la personne victime de ces agissements frauduleux sont le dépôt de plainte et une action auprès de leur banque pour obtenir le remboursement. En effet, l’article L133-24 du code monétaire et financier prévoit que la personne qui a subi une opération de paiement non autorisé ou mal exécuté a un délai de 13 mois à compter de la date de débit pour signaler l’opération à sa banque. La banque remboursera alors immédiatement la personne du montant de l’opération non autorisée (article L.133-18 du code monétaire et financier).

La section opérationnelle de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), rattachée à la Sous-direction de lutte contre la cybercriminalité, est notamment chargée de la répression des infractions liées aux atteintes aux systèmes de traitement automatisé de données et aux escroqueries commises sur internet.

La personne peut aussi prendre contact avec son assureur pour savoir si elle est assurée contre ce type de délit.

Quels enjeux, quelles mesures prendre pour les Cybermarchands ?

En tant que responsable des traitements de données opérés via leurs boutiques en ligne, les Cybermarchands sont directement responsables des failles de sécurité pouvant intervenir.

L’article 34 de la loi informatique et libertés impose en effet à chaque responsable de traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Afin de remplir cette obligation légale qui sera prochainement renforcée par le Règlement Européen sur la protection des données à caractère personnel [5] chaque cybermarchand pourra utilement envisager la mise en œuvre des mesures suivantes :

  1. Une Charte Utilisateurs des Systèmes d’Informations
  2. Une Politique de Gestion des Incidents
  3. Une Politique d’Habilitation
  4. Auditer la solution de paiement mise en place sur la boutique en ligne et les conditions contractuelles associées
  5. Mettre en place une veille sur internet (veille concurrentielle) notamment pour identifier les cas de phishing
  6. Sensibiliser les clients au risque informatique dans le cadre des CGV et autres mentions d’information sur le site (Notamment via la mise en ligne d’une Politique de Confidentialité)

 

Vous souhaitez nous contacter pour la mise en œuvre de ces mesures ? Cliquez ICI.

[1] Chiffres clés 2015 de la Fédération e-commerce et vente à distance (Fevad)

[2] Rapport annuel de l’Observatoire de la sécurité des cartes de paiement 2014, p19

[3] Rapport annuel de l’Observatoire de la sécurité des cartes de paiement 2014, p 63

[4] Rapport annuel de l’Observatoire de la sécurité des cartes de paiement 2014, p64

[5] Cf. https://www.haas-avocats.com/ecommerce/vie-privee-protection-des-donnees-qui-changer-2016-partie-une-obligation-securite-renforcee/?nabe=5782488554143744:1

[6] https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/?nabe=5782488554143744:1&utm_referrer=https%3A%2F%2Fwww.google.fr%2F

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com