Éclaircissements concernant les cartes bancaires sans contact

Nous avons dressé un état des lieux sur la fonction de paiement sans contact des cartes de crédit, suite à une collaboration sommaire avec la CNIL et une prise de contact avec les principales émettrices de cartes bancaires.

Depuis l'année dernière, les médias se sont saisis du thème des cartes de crédit permettant un paiement sans contact. Différents types d'analyses et de conclusions y sont développées, pour la plupart préoccupantes en termes de droits de la personnalité et de sécurité des données. Quelques-unes de ces thèses ont été corroborées par la Commission nationale de l'informatique et des libertés (CNIL) dans sa communication du 1er juillet 2013 «Sécurité des cartes bancaires sans contact: quelles sont les avancées et les améliorations possibles?». Nous avons, sur cette base-là et dans le cadre de nos attributions légales, entamé un bref échange de renseignements avec l'autorité française. Ce qui nous a permis dans un premier temps d'évaluer les informations qui circulent tant sur la toile que dans la presse écrite. Dans la foulée, un contact a également été établi avec les principales émettrices de cartes de crédit en Suisse afin de leur donner l'occasion de prendre position.

Les nouvelles cartes mises en circulation en Suisse dès l'année dernière sont, pour la plupart, d'ores et déjà dotées d'une technologie de radio-identification (RFID), qui permet un paiement sans contact dans différents points de ventes équipés de terminaux compatibles (Point of Sale, POS). Les trois grands donneurs de licence de cartes de crédit MasterCard, Visa et American Express ont mis sur pied un produit similaire portant toutefois des noms différents. Il s'agit des systèmes PayPass, payWave et ExpressPay. Ces dénominations - qui d'ailleurs figurent généralement sur la carte - donnent déjà une petite idée sur le mode de fonctionnement: en passant la carte à proximité d'un POS, le paiement est comptabilisé sans devoir introduire de code ou apposer une signature sur la facture. L'identification s'opère, dans ce cas, par fréquences radio. Les données nécessaires à l'achat sont transmises par ce biais depuis la carte au terminal. Un processus d'authentification, par exemple au moyen d'un numéro d'identification personnel (NIP) n'intervient en principe pas. L'opération est néanmoins limitée à un montant maximum afin de restreindre le dommage en cas de perte ou de vol.

La transmission de données décrite ci-dessus n'est pas réservée aux terminaux de ventes POS. Par conséquent, un résultat non désiré peut être l'interception et la lecture, à l'insu du titulaire de la carte, par un tiers non autorisé, équipé du minimum technologique nécessaire. Un risque accru existe notamment dans les lieux publics.

Suite à l'état des lieux sur le thème de la sécurité de l'information - étroitement lié à la responsabilité civile du maître du fichier (à savoir l'émetteur de cartes de crédit) - il convient d'aborder la question de l'autodétermination informationnelle. Ce droit, fondamental et inaliénable, ancré dans la Constitution fédérale, prévoit que toute personne peut s'opposer à un traitement. Ce droit peut subir des restrictions, comme tout droit fondamental, mais seulement à des conditions précises. En l'occurrence, la LPD prévoit des motifs justificatifs permettant un traitement en toute licéité: le consentement, l'intérêt privé ou public prépondérant ou la loi. Or, en l'espèce, les émettrices consultées ne font valoir aucun intérêt prépondérant privé ou public au traitement décrit. L'insertion de la puce RFID dans la carte n'est de surcroît pas soumise au choix ou au consentement du client. Il est vrai que la politique d'information des émettrices consultées correspond aux préceptes de la transparence, mais elle ne suffit pas à inférer un consentement de la part du client.

Admettons qu'un consentement tacite au traitement suffise, puisqu'a priori aucune donnée sensible n'est communiquée depuis la puce. Dans ce cas, les éléments constitutifs du consentement doivent également être remplis. Il s'agit d'une part de l'aspect «éclairé» et d'autre part du caractère «libre» relatif à la formation de la volonté du concerné. Ici, le noyau du problème se situe au niveau du consentement libre. Dans les faits, la situation actuelle sur le marché suisse des cartes de crédit sans contact favorise un déséquilibre structurel entre le client et la banque. En effet, une alternative, à savoir le choix d'un concurrent offrant un produit de même gamme, substituable, sans RFID, n'existe a priori pas. Un consentement tacite par le biais des conditions générales ne remplit dès lors pas les critères intangibles du consentement libre.

Nous appelons le secteur bancaire à une adaptation des mesures pour le respect des libertés individuelles, notamment en octroyant un choix aux clients ou la possibilité d'un refus de la technologie. En attendant cette évolution, nous rendons les porteurs de cartes de crédit qui souhaitent protéger leurs données attentifs à la possibilité de les mettre dans des portemonnaies conçus pour bloquer la transmission des fréquences radios ou dans des fourres en aluminium.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/21e-rapport-d-activites-2013-2014/eclaircissements-concernant-les-cartes-bancaires-sans-contact.html