|
|
Magasins en ligne - Sécurisation des données de paiement - Cryptage des coordonnées - Contrôle
Internet
commerce électronique
site internet
protection des données
monnaie électronique
bancatique
criminalité informatique
cryptographie
| 23/12/2009 | Envoi question (Fin du délai de réponse: 25/1/2010) |
| 8/2/2010 | Réponse |
Selon Networking4all, une entreprise néerlandaise qui contrôle tous les magasins en ligne où des clients peuvent directement payer par le biais de leur propre banque grâce à un système interface, ce sont surtout les petits fournisseurs qui ne maîtrisent pas la sécurisation des paiements. Les magasins en ligne les plus connus sont connectés à un protocole de sécurisation des échanges sur internet : l'internaute voit alors apparaître un petit cadenas ou les lettres « https » dans le champ réservé à l'adresse. Il sait ainsi que personne ne peut saisir les données envoyées.
Sur les sites web mal sécurisés, les données telles que le nom, l'adresse, le numéro de téléphone et l'adresse e-mail sont envoyées sans cryptage. Des personnes malveillantes peuvent lire et par exemple modifier l'adresse de livraison ou faire des achats sous l'identité volée.
J'aimerais obtenir une réponse précise et détaillée aux questions suivantes :
1. Quelles mesures les magasins belges en ligne doivent-ils prendre légalement afin de protéger les données de paiement de leurs clients ?
2. Le ministre connaît-il le pourcentage de magasins belges en ligne qui ont un site web sécurisé ? Peut-il communiquer des chiffres ? S'il ne dispose pas de chiffres précis, quelle est son opinion globale à ce sujet ?
3. Est-il vrai que la loi impose aux magasins en ligne de crypter les données personnelles ? Comment ce cryptage a-t-il lieu techniquement ? Ces magasins en ligne peuvent-ils appliquer simplement ce cryptage ?
4. Qui est responsable du contrôle sur ces magasins en ligne ? S'il n'y a pas de contrôleur, est-ce une situation souhaitable vu qu'il est question d'une obligation légale ? S'il y a un contrôleur, peut-on dire qu'il a manqué à ses devoirs ?
5. Sait-on combien de clients de ces magasins en ligne ont été victimes de fraude à la suite du comportement répréhensible de ces magasins ? Dans l'affirmative, peut-il communiquer ce chiffre ? Dans la négative, compte-t-il faire mener une enquête ?
Voici ma réponse à la question de l'honorable membre :
Je me réfère à la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (loi sur la vie privée). Selon l’article 16 §4, « Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l’accès et tout autre traitement non autorisé de données à caractère personnel. Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d’une part, de l’état de la technique en la matière et des frais qu’entraîne l’application de ces mesures et, d’autre part, de la nature des données à protéger et des risques potentiels, etc. ». Cette règle ne s’applique pas uniquement à la conservation des données par les magasins en ligne mais aussi à la transmission des données de paiement, d’adresse et autres via le magasin en ligne. La Commission de la protection de la vie privée veille au respect de cette loi.
85 % des magasins en ligne belges sont équipés d’un système de paiement sécurisé via le principal prestataire de services belge dans ce domaine.
En ce qui concerne les obligations légales, je me réfère au point 1 de ma réponse. Le Service public fédéral (SPF) Économie a édité un « Guide des titulaires de site internet », qui peut être consulté sur http://economie.fgov.be/fr/binaries/designers_internetguide_fr_tcm326-36214.pdf. Ce guide aborde également la problématique de la protection des données de paiement et autres. En résumé, il mentionne ce qui suit :
Il existe principalement deux standards de sécurisation des paiements sur les réseaux : le SSL et le SET.
SSL (Secure Sockets Layer) : il s’agit d’un protocole assurant la confidentialité et l’intégrité de données transmises sur les réseaux, en les cryptant (à l’aide d’une signature digitale). Ce système efficace est extrêmement répandu et utilisé par une large majorité de prestataires sur les réseaux. Grâce à ce standard, les données bancaires – numéro de carte et date d’expiration – circulent de manière cryptée sur les réseaux. Si elles venaient à être interceptées par un tiers au cours de la transmission, ce dernier ne pourrait les déchiffrer.
SET (Secure Electronic Transaction) : il s’agit d’un standard spécifiquement destiné à sécuriser les paiements par carte sur les réseaux. Le vendeur n’a pas accès aux données bancaires du client, ce qui évite les problèmes de hacking liés au stockage de ces données dans une base de données. En effet, celles-ci sont directement envoyées sous forme cryptée à l’émetteur de la carte de crédit qui est le seul à pouvoir les déchiffrer pour vérifier la validité de la transaction. Le standard SET permet également l’identification du client sur les réseaux grâce à un certificat. Ainsi, personne d’autre que le client ne peut payer avec sa carte de crédit.
Ce système est également utilisé avec un lecteur de carte à puce pour les paiements sur Internet au moyen d’une carte de débit. Il est très facile à utiliser par le client et ne nécessite l’installation d’aucun logiciel sur son ordinateur. Au moment de régler ses achats sur un site, le client n’a qu’à cliquer sur un hyperlien qui le renvoie vers la plate-forme de paiement sécurisé. Grâce à un logiciel intégré au site, toutes les données relatives à l’achat (prix, identification du vendeur, etc.) sont transmises de manière sécurisée à cette plate-forme de paiement. Ensuite, le client introduit ses données bancaires (numéro de carte, date d’expiration et type de carte) directement sur le serveur sécurisé et non sur le site du vendeur. Ainsi, un éventuel hacker ne pourra pas accéder à ces données. Ensuite, la plate-forme de paiement confirme au vendeur que le paiement a été valablement enregistré.
La Cellule « Veille sur Internet » de la Direction générale du Contrôle et de la Médiation du SPF Économie contrôle les magasins en ligne en ce qui concerne le respect de la réglementation économique. Des sanctions pénales sont prévues pour les infractions à la loi du 14 juillet 1991 sur les pratiques du commerce et sur l’information et la protection du consommateur, à la loi du 11 mars 2003 sur certains aspects juridiques de la société de l’information, ainsi qu’à la loi susmentionnée relative à la vie privée.
En ce qui concerne la problématique évoquée dans la question de l’honorable membre, la Direction générale du Contrôle et de la Médiation du SPF Économie n’a reçu aucune plainte de clients des magasins en ligne.