SECURITE DU COMMERCE SUR INTERNET
/ Mai 2022 /
L’arrivée d’internet a permis la mise en place du commerce en ligne, cependant, beaucoup d’internautes ne se sont pas risqués à acheter en ligne, particulièrement à cause du paiement en ligne. Il a alors fallu sécuriser le commerce en ligne afin de faciliter les achats sur la toile. Mais comment le commerce sur internet a-t-il été sécurisé ?
La sécurité du commerce sur internet est un impératif, car les informations entrées sur internet au moment d’un achat sont reliées à nos comptes, mais aussi à notre vie privée. Un défaut de la sécurité du commerce sur internet conduirait à un accès facile à nos comptes bancaires pour des tiers. Les défauts de la sécurité du commerce sur internet ont été constatés et ont poussé à une réaction rapide. Nous verrons que la sécurité du commerce sur internet se fait de différentes façons et à différents niveaux.
Besoin de l'aide d'un avocat pour un problème de contrefaçon ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
La sécurité du commerce sur internet est d’ailleurs devenue un secteur en pleine expansion. Cela a conduit à un niveau de confiance convenable et les achats en ligne se font de plus en plus facilement, sans se soucier de failles de la sécurité du commerce sur internet. Toutefois, la sécurité du commerce sur internet reste toujours actuelle tant les menaces se perfectionnent et s’améliorent pour essayer de faire face aux nombreux moyens de protection des consommateurs dans le cadre du commerce sur internet.
Sécurité des échanges, confidentialité, authenticité sont les garanties exigées dans le commerce électronique. Des dispositions ont donc été prises pour protéger au maximum les consommateurs et les commerçants contre les usurpations, les non-paiements, toutes les fraudes qui peuvent sévir sur Internet.
Ces dispositions concernent plus particulièrement la sécurité des paiements, la protection des consommateurs mais également la signature sécurisée des contrats de commerce électronique.
I. La signature électronique
L’article 1316-4 ancien du Code civil issu de la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique définit la signature électronique comme « l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ».
Cet article est désormais l’article 1367 alinéa 2 du Code civil qui dispose que : « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité de la signature assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État ».
C’est le décret n° 2001-272 du 30 mars 2001 qui impose le respect de certaines règles pour obtenir une signature électronique fiable. Son article 2 précisait que « la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve du contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique ».
Il faut donc une signature électronique sécurisée. Pour cela, le décret exigeait notamment que le dispositif de création de la signature soit conforme à certaines exigences et que le matériel utilisé soit certifié.
En effet, le dispositif de création de la signature doit garantir que les données de création de signature électronique sont protégées à la fois contre les falsifications, contre toute utilisation par un tiers, contre toute altération et que leur confidentialité est assurée. De plus, le dispositif doit avoir été certifié conforme à ces exigences soit par le Premier ministre dans les conditions prévues par le décret n° 2002-535 du 18 avril 2002, soit par un organisme désigné à cet effet par un État membre de la Communauté européenne. ( article 3 du décret du 30 mars 2001 )
L’évaluation du dispositif de création de signature électronique en vue de sa certification est réalisée par des centres d’évaluation agréés par le 1er Ministre. C’est le 1er Ministre qui délivre ensuite lui-même le certificat. L’ensemble est placé sous la coordination des Services du Premier Ministre chargés de la sécurité et des systèmes d’information (SCSSI).
De plus, il fallait recourir à un certificat électronique qualifié et délivré par un prestataire de service de qualification lui-même qualifié.
Un certificat électronique ne sera considéré comme qualifié que s’il respecte les conditions de l’article 6 du décret du 30 mars 2001, il doit comporter un certain nombre d’éléments et être délivré par un prestataire de service de qualification satisfaisant à certaines exigences.
Il était prévu que pour être qualifié, le certificat devait comporter mention indiquant que le certificat est délivré à titre de certificat qualifié, il faut qu’il contienne l’identification du prestataire et son pays, le nom ou pseudonyme du signataire et éventuellement sa qualité, les données permettant la vérification de la signature, la durée de validité du certificat, son code d’identité, la signature électronique du certificateur, ainsi que les limites quant à l’utilisation de ce certificat.
S’agissant des prestataires de service de certification qui délivrent ces certificats qualifiés, ils doivent prouver leur fiabilité, et notamment faire appel à du personnel compétent et à des produits sécurisés. Ils se doivent de vérifier l’identité et la qualité des personnes auxquelles ils délivrent des certificats. Ils sont censés disposer de ressources financières adéquates, lutter contre la contrefaçon des certificats, enregistrer les données pertinentes…
Il est même prévu que les prestataires de service de certification qui satisfont aux exigences fixées à l’article 6 peuvent être demandés à être reconnus comme qualifiés. Il s’agit d’une accréditation. L’accréditation permet une présomption de qualification des certificats car dès lors que les prestataires de certification sont qualifiés, les certificats qu’ils délivrent sont présumés qualifiés et donc la signature électronique bénéficie d’une présomption de fiabilité.
Si l’écrit électronique répond à toutes ces prescriptions, il fera foi. En effet, selon l’article 1365 du Code civil, l’écrit consiste en une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quel que soit leur support. L’écrit peut, donc effectivement, être électronique, mais aussi être sous une forme cryptée.
Par ailleurs, l’article 1366 du code civil dispose que : « l’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».
Ce certificat ainsi qualifié établit un lien entre une personne physique ou morale dûment identifiée et une paire de clés asymétriques ( privée ou publique). On utilise en effet un procédé cryptographique pour garantir l’authenticité du document et l’identité du signataire. Actuellement seule une signature électronique basée sur la cryptographie asymétrique permet à une partie de se prévaloir de la présomption de fiabilité posée par l’article 1316-4 al. 2 ancien du Code civil. Une cryptographie asymétrique est une cryptographie qui n'utilise pas les mêmes clés pour crypter et pour décrypter un message. On parle de système à clé publique/ clé privée. Son utilisation permet au destinataire du message de s’assurer de l’intégrité du message.
Le règlement européen n° 910/2014 du Parlement européen relatif à la signature électronique viendra abroger le décret du 30 mars 2001.
C’est le célèbre règlement eIDAS de 2014. Ça concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique.
Depuis le règlement eIDAS, on distingue 3 types de signatures : la simple, la avancée et la qualifiée.
Les signatures électroniques ne bénéficiant pas d’une présomption de fiabilité sont la signature électronique simple et avancée. L’article 26 du règlement eIDAS prévoit que la signature électronique avancée doit respecter certaines exigences :
-Elle doit être liée aux signatures de manière univoque
-Elle doit être créée à l’aide de données de création de signatures électroniques
-Elle doit être liée aux données associées à cette signature de telle sorte que toute modification ultérieure soit détectable.
En revanche, la signature électronique, qui elle bénéficie d’une présomption de fiabilité, est la signature qualifiée. L’article 1er du décret n° 2017-1416 du 28 septembre 2017 énonce ainsi que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée ».
Toutefois, il convient de préciser que même si une signature électronique ne bénéficie pas d’une présomption de fiabilité, elle pourra être admise par le juge si leur fiabilité technique est démontrée. En effet, dans un arrêt en date du 6 avril 2016, la Cour de cassation a confirmé la décision des juges du fond de considérer comme fiable une signature qui n’a pas été effectuée conformément aux techniques fixées par décret.
En cas de contestation de validité d’une signature qualifiée, la présomption de fiabilité posée à l’article 1367 alinéa 2 du Code civil peut être renversée par le juge en fonction des éléments dont il dispose. L’article 288-1 du Code de procédure civile dispose que « lorsque la signature électronique bénéficie d’une présomption de fiabilité, il appartient au juge de dire si les éléments dont il dispose justifient le renversement de cette présomption .
Et si la signature électronique respecte les conditions de sécurité posées par décret ça sera donc à celui qui conteste la signature ou l’intégrité de l’acte d’apporter devant le juge la preuve de la falsification de l’acte. Nous avons ici un renversement de la charge de la preuve puisque la démonstration des preuves revient à la partie qui conteste la signature et non à celui qui a signé comme c’est le cas avec la signature simple ou avancée.
II. Sécurité des paiements en ligne
Aujourd’hui le moyen de paiement le plus largement utilisé pour les achats en ligne est la carte bancaire avec plus de 80 % des paiements.
Le moyen le plus répandu est l’utilisation de la carte bancaire avec transmission du numéro de carte sur le réseau, en utilisant le chiffrement SSL (secure socket layer) développé par Nescape en 1996. Les informations communiquées ( numéro de carte, date d’expiration…) ne sont pas divulguées au commerçant, c’est uniquement la banque qui dispose de ces informations. Le protocole SSL crypte les données suivant deux clés de 128 bits. L’interception du numéro devient donc impossible.
D’autres moyens de paiement sécurisés existent comme :
- Le protocole SET qui permet l'authentification de toutes les parties grâce à l'échange de signatures électroniques. Il protège les données transmises par le client lors de la transaction et empêche l'envoi des données bancaires confidentielles au logiciel marchand du commerçant.
-La carte bleue virtuelle ou l'e-carte bleue : la banque attribue à son client un numéro de carte à usage unique, cela évite la circulation du numéro de la carte bancaire.
-Le chèque virtuel : chaque chèque est affecté d’un numéro à usage unique avec un système d’identification électronique, il est même dorénavant possible de créer ses propres chèques sur son ordinateur (Netchex) en mettant au préalable en place un système de sécurité.
-Le dispositif Sympass : la société Sympass a développé un système utilisant à la fois le clavier de l’ordinateur et le clavier du téléphone. En effet, pour payer, l’internaute va saisir les huit premiers chiffres de sa carte bancaire ainsi qu’un numéro de téléphone, il va alors recevoir un appel téléphonique et devra saisir les huit derniers chiffres de sa carte sur le clavier du téléphone. Les fraudeurs ne désirant pas faire connaître leur numéro de téléphone, la fraude est inexistante dans ce système.
-La solution ID tronic de la caisse d’épargne : ce système permet d’acheter avec une carte bancaire sans en donner le numéro. Il faut, au préalable s’inscrire au service en envoyant ses coordonnées, son numéro de portable et un RIB. Lors du paiement, le client entrera un code fourni ou son adresse de messagerie électronique, il recevra alors un sms sur son téléphone sur lequel figurera un mot de passe. Il devra alors saisir le mot de passe sur l’écran de paiement en ligne, le paiement sera alors confirmé et l’identité de l’acheteur authentifiée.
-Le cash back : ce système permet au consommateur de gagner de l’argent. En effet, l’internaute se verra soit reversé une partie du montant payé, soit une somme sera mise à sa disposition pour l’achat de biens et services sur des sites partenaires. En est un exemple le eBuyClub, un certain nombre de sites cybermarchands sont partenaires et pour tout achat effectué sur un de ces sites, une partie du montant variant entre 1 et 15 % est reversé au consommateur. Il est même possible que les internautes créent des équipes et chaque achat d’un membre de l’équipe rapporte de l’argent.
-Le porte monnaie électronique : Le porte-monnaie électronique consiste en une carte de paiement prépayée, c’est-à dire sur laquelle une certaine somme d’argent a été chargée, permettant le règlement d’une multitude de services (" plate-forme "). Une réserve financière sera donc " stockée " sur le microprocesseur de la carte.
-Le système Paynova ou encore Paypal permettent au consommateur d’utiliser un porte-monnaie virtuel sur différends sites Internet Il doit donner ses coordonnées dont son adresse de messagerie et crédite son porte-monnaie grâce à sa carte bancaire. Il peut ensuite faire ses achats en ligne.
Il existe aussi le porte-monnaie électronique post payé : click&buy, l’internaute fait ses achats puis est débité une fois par mois du total de ses dépenses.
III. Protection des consommateurs
Le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument.
Dans certains cas, l’authentification forte est requise lorsque le payeur a accès à ses comptes en ligne. La loi impose le remboursement immédiat pour toute transaction effectuée sans authentification forte.
En cas de fraude à la carte bancaire, le porteur peut obtenir le remboursement des débits frauduleux et des frais occasionnés en s’adressant auprès de sa banque. L’établissement de crédit doit rembourser le payeur le montant de l’opération immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé. En cas de perte, de vol, etc. , le payeur supporte les conséquences avant d’avoir formé opposition même s’il y a un plafond de 50 euros.
Le Code monétaire et financier prévoit en effet dans ses articles L.132-4 et L.132-6 anciens que « La responsabilité du titulaire d’une carte n’est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte. » et que « le délai légal pendant lequel le titulaire d’une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date de l’opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours à compter de l’opération contestée. »
En revanche, la responsabilité du payeur pourrait être engagée s’il a agi par négligence grave ou de manière frauduleuse selon la jurisprudence de la chambre commerciale.
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés protège le consommateur contre le traitement des données à caractère personnel, c’est-à-dire le traitement de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Les personnes dont les données personnelles font l’objet d’un traitement bénéficient notamment d’un droit d’accès à la totalité des données qui le concernent. Ce droit d’accès est prévu à l’article 15 du RGPD (le droit d’accès et d’obtenir des informations sur les finalités du traitement et les catégories de données personnelles concernées). Toutefois, si le traitement intéresse la sûreté de l’État, la sécurité publique, elles n’ont pas un droit d’accès direct et doivent s’adresser à la Commission nationale de l’informatique et des libertés (CNIL).
L’article 40 de la loi n° 78- 17 du 6 janvier 1978 octroie un droit de contestation et de rectification. « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »
Donc, article 16 RGPD (droit de rectification) ; article 17 (droit de l’effacement ou droit à l’oubli) ; article 18 (droit à la limitation du traitement).
De plus, « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. » ( article 38 de la loi du 6 janvier 1978).
Le fait de ne pas respecter le droit d’opposition est une infraction pénale prévue à l’article 226-18-1 du Code pénal et est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
Les responsables des traitements ont quant à eux certaines obligations à respecter. Ils doivent le plus souvent obtenir le consentement des personnes concernées, celles-ci doivent être informées de l’identité du responsable du traitement, de la destination des données, de leur finalité, des droits que la loi leur accorde.
Le RGPD consacre le principe de responsabilité : le responsable de traitement sera responsable des atteintes portées à ses dispositions. Dès lors, le responsable de traitement doit s’assurer dans un premier temps que les données traitées sont bien protégées dès la conception de l’outil numérique concerné (Privacy by design). Il aura alors recours à certaines techniques très spécifiques telles que la pseudonymisation ou la minimisation des données - selon la CNIL “le principe de minimisation des données prévoit que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”.
Le traitement d’une donnée personnelle doit être conforme à trois principes subséquents du respect des droits de l’utilisateur : les principes de licéité (article 6 RGPD), de loyauté et de transparence du traitement. La transparence du traitement suppose qu’un certain nombre d’informations soient portées à l’attention de l’utilisateur telles que : l’existence même du traitement des données, l’identité et les coordonnées du responsable de traitement, des destinataires ou groupes de destinataires ainsi que de ses droits, la finalité de traitement, la durée de conservation…
Le responsable de traitement est alors tenu de démontrer à tout moment que la personne a bien consenti selon les conditions portées par l’article 7-1 du RGPD. L’utilisateur doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement. Ce consentement est incontournable ; il doit être libre, spécifique, éclairé et univoque.
La loi condamne pénalement la collecte déloyale, frauduleuse ou illicite d’informations nominatives. De plus, il est interdit de collecter certaines données, notamment celles « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Les responsables ont des procédures de déclaration ou d’autorisation à faire auprès de la CNIL. Celle-ci vérifie que la loi est respectée et accorde ou non les autorisations demandées. Elle s’attarde particulièrement sur la finalité des traitements, les destinataires visés et les précautions mises en œuvre pour préserver l’intégrité des données.
La CNIL a des pouvoirs de sanction, elle peut prononcer un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la loi. Elle peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’elle fixe.
A défaut de réaction de la part du responsable, la CNIL peut prononcer des sanctions comme une sanction pécuniaire, le verrouillage de certaines données ou l’interruption de la mise en œuvre du traitement pour une certaine durée.
Le Code pénal réprime les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques dans ses articles 226-16 à 226-24.
Le Code pénal réprime notamment toute mise en œuvre de traitements automatisés d’informations nominatives sans respecter toutes les formalités légales préalables et toute mise en œuvre desdits traitements sans prendre les précautions nécessaires à la préservation de la sécurité des informations nominatives.
Aussi, la loi sur la confiance en l’économie numérique du 21 juin 2004 « interdit la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit les coordonnées, d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen »
Le consommateur est donc protégé contre les communications commerciales non sollicitées. Par là, il faut comprendre, donc, que le consommateur est protégé contre les pratiques commerciales trompeuses et les pratiques commerciales agressives.
Qu’est-ce une pratique commerciale trompeuse ? Elles sont visées à l’article L. 121-2 et L. 121-3 du code de la consommation et sont interdites, car regardées comme déloyales à l’égard des consommateurs, dans la mesure où elles reposent sur des allégations, indications ou présentations fausses ou de nature à induire en erreur le consommateur ou encore parce qu’elles se caractérisent par une ou des omissions.
Qu’est-ce une pratique commerciale agressive ? C’est une pratique commerciale qui soit altère ou est de nature à altérer de manière significative la liberté de choix d’un consommateur ; soit elle vicie ou est de nature à vicier le consentement d’un consommateur ; soit elle entrave l’exercice des droits contractuels d’un consommateur (article L. 121-6 code de la consommation).
Malgré ces dispositions, la sécurité dépend beaucoup du comportement des consommateurs. Il est fait appel à leur vigilance.
En France, vu l’augmentation des attaques, le Forum des droits sur l’Internet a rappelé des conseils de vigilance aux internautes :
1/ ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ;
2/ toujours vérifier, dans la barre d’adresse du navigateur, l’adresse du site internet avant de saisir les informations demandées ;
3/ toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandées des identifiants ;
4/ lors de la consultation de sites sécurisés (sites bancaires, par exemple), s’assurer de l’activation du cryptage des données (l’adresse du site doit commencer par https et non par http)
5/ en cas de doute, prendre contact directement avec l’entreprise concernée (votre banque, votre fournisseur d’accès à l’internet, etc.) pour lui signaler le message suspect.
Ppour lire une version plus adaptée aux mobiles de cet article sur la sécurité du commerce sur internet, cliquez
ARTICLES QUI POURRAIENT VOUS INTERESSER :
SOURCES :
https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-reglement-eidas
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000035676246/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000032389405/
