Michel Hunault
Question N° 109940 au Ministère du de l'État
Question soumise le 31 mai 2011
M. Michel Hunault interroge M. le ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'État sur les moyens de paiement et leur sécurisation. Il lui demande de préciser, en concertation avec les initiatives exemplaires prises par le groupement des cartes bancaires, comment il entend tendre à cet objectif de sécurisation.
Réponse émise le 5 juillet 2011
Les opérations frauduleuses sur les cartes bancaires sont bien contrôlées et font l'objet d'un encadrement juridique très strict qui permet au porteur de la carte de ne pas voir sa responsabilité engagée. Ainsi, depuis l'entrée en vigueur, en juillet 2009, de l'ordonnance transposant la directive 2007/64/CE concernant les services de paiement, le code monétaire et financier prévoit notamment qu'en cas d'opération non autorisée (perte, vol, détournement, y compris utilisation frauduleuse à distance et contrefaçon) et avant opposition, la responsabilité du porteur n'est pas engagée s'il a satisfait à ses obligations de sécurité. Ce cadre légal a fortement contribué à limiter les conséquences de la fraude sur les paiements nationaux par carte. En outre, on constate que, de manière générale, le taux de fraudes enregistrées sur les paiements nationaux par carte est en baisse constante grâce aux progrès technologiques accomplis pour une sécurisation toujours croissante des transactions par carte. En revanche, le paiement à distance reste un sujet d'une attention toute particulière de la part des autorités et organes de surveillance des moyens de paiement. En effet, ce type de modalité représente dans ce contexte de fraude un facteur de risque plus élevé que la moyenne. C'est pourquoi le paiement à distance fait tout particulièrement l'objet de nouvelles mesures visant à renforcer la protection des données bancaires en se dotant de normes de sécurité internationales, ainsi, depuis le 1er octobre 2008, la technologie 3D Secure, ou procédure d'authentification renforcée, permet de mettre en place un contrôle supplémentaire lors d'un achat en ligne en complément des données bancaires. Outre une sécurisation du paiement pour le titulaire de la carte, ce système a pour conséquence de responsabiliser la banque émettrice qui, si elle a admis l'authenticité du paiement, devient seule responsable en cas d'impayé ; le système PCI-DSS, vise quant à lui à protéger l'ensemble des données transmises au travers des systèmes d'information et à lutter contre le détournement de ces données de cartes afin d'éviter leur utilisation frauduleuse. Ces mesures PCI-DSS représentent une bonne pratique, propre à contribuer à élever le niveau de sécurité des processus et matériels utilisés, et répondent en partie aux recommandations de l'Observatoire sur la sécurité des cartes de paiement qui confirme la nécessité de mettre en oeuvre de telles mesures de protection en particulier. Conscients de l'enjeu que constitue le recul de la fraude à la carte bancaire, notamment sur Internet, et du choix approprié des outils pour y parvenir, les pouvoirs publics soutiennent cette mesure en dépit des questions que soulève l'adéquation de PCI-DSS au marché français, tant au regard de la spécificité des cartes à puces que des adaptations nécessaires pour la gestion des données des commerçants. Les pouvoirs publics s'attachent, dans cet objectif de sécurisation, à veiller à ce que des améliorations tangibles soient apportées pour répondre à tous les critères de fonctionnement et de garantie optimaux.
Aucun commentaire n'a encore été formulé sur cette question.