La progression du chiffre d’affaires du e-commerce français se traduit par une hausse du nombre de cyberacheteurs. Un nouveau cap a, ainsi, été franchi au troisième trimestre 2008, avec plus de 7 internautes sur 10 (70,8 %) ayant déjà acheté en ligne (2). Ce haut niveau de confiance confirme l’entrée de l’achat en ligne dans les usages des Français, alors que 68 % des internautes ont l’intention d’acheter leurs cadeaux de Noël en ligne (3).

Le paiement par carte bancaire reste en France le moyen le plus répandu pour régler ses achats avec pas moins de 85 % des cyberacheteurs qui l’utilisent. Cependant, la vente à distance sur simple communication d’un numéro de carte bancaire a multiplié les possibilités de fraudes.

Le montant moyen d’une transaction frauduleuse était de 130 euros en 2007

A cette occasion, Fabien Lang, Commissaire de police, Adjoint au chef de l’OCLCTIC, Direction Centrale de la Police Judiciaire (DCPJ), nous a exposé les dernières données de l’Observatoire de la sécurité des cartes de paiement. En 2007, le taux global de fraude à la carte bancaire dans les systèmes français est de 0,062 %, soit un montant d’environ 268 millions d’euros. Un chiffre stable, voire légèrement inférieur à celui des années précédentes, alors que le montant des transactions, lui, a augmenté de 9 % (430,7 milliards d’euros en 2007 contre 395,1 milliards d’euros en 2006). Le montant moyen d’une transaction frauduleuse a lui aussi augmenté, passant de 117 euros en 2006 à 130 euros en 2007.

Le taux de fraude est plus important concernant les transactions internationales (0,368%) contre 0,029% pour les transactions nationales. La fraude touche dans une moindre mesure les paiements de proximité (0,017%) contre un taux de 0,236% pour les paiements à distance (0,199% en 2006). Parmi les fraudes liées aux paiements à distance, celles concernant des transactions effectuées sur Internet ont augmenté. En 2007, elles représentent 1,117 % des fraudes globales (contre 0,898 % en 2006) pour un montant total de 26,4 millions d’euros. Les chiffres montrent à ce titre un élargissement de l’écart entre le taux de fraude lié aux paiements par courrier/téléphone et celui lié aux paiements sur Internet, ce dernier ayant augmenté de manière plus importante.

L’OCLCTIC traite principalement deux types de fraude : le skimming sur DAB et DAC et le carding. Le skimming représente le vol sur les automates des données de pistes magnétiques. Ce problème est inhérent à la piste des cartes bancaires. En 2007, 391 points de compromission ont été identifiés, contre 520 en 2006. Le « carding » est, quant à lui, en pleine expansion. Il s’agit du piratage et du trafic des données de cartes de paiement. Ce phénomène regroupe trois étapes : le coding (piratage des données), le vending (revente des données) et le cashing (échange financier). Des sociétés comme Western Union, Egold, ou encore Webmoney, sont utilisées pour blanchir l’argent.

Depuis 2001, le cyberacheteur est dégagé de toute responsabilité en cas d’utilisation non souhaitée de sa carte

Face à ces menaces, il est nécessaire de faire acte de prévention auprès des internautes. A l’heure actuelle, c’est le commerçant qui va supporter le coût du préjudice. Le législateur est intervenu en 2001 (Loi du 15 novembre 2001) afin de dégager le cyberacheteur de toute responsabilité en cas d’utilisation non souhaitée de sa carte ou des informations le concernant. Le cybercommerçant a, en outre, l’obligation de fournir un certain nombre d’informations sur son site Internet (identité, caractéristiques des produits vendus, conditions générales de vente, prix, etc.).

Une proposition de directive communautaire du 24 avril 2007 vise, quant à elle, à harmoniser au niveau européen les règles d’information et les droits et obligations des utilisateurs et des prestataires de service de paiement, afin d’instaurer un niveau de sécurité des paiements en ligne équivalent dans tous les pays de l’Union Européenne.

Dans ce cadre, F5 Networks a rejoint, en novembre 2007, le Payment Card Industry (PCI) Security Standards Council en tant qu’organisation participante. Cet organisme indépendant, formé à l’initiative des principaux réseaux de paiement par carte de crédit pour développer, améliorer, diffuser et faciliter la mise en œuvre des standards de sécurité des paiements, assure la maintenance et l’évolution d’une norme de sécurité des données des transactions sur Internet appelée le Payment Card Industry Data Security Standard (PCI DSS). Tout organisme qui traite, conserve et transmet des informations sur les détenteurs de cartes bancaires et les transactions doit se conformer à ce standard. À défaut et en cas de fuite des données de transaction ou du titulaire de carte, l’organisme se voit contraint de payer une amende importante.

(1) Le baromètre du e-commerce de l’ACSEL (Association pour le commerce et les services en ligne) est édité depuis 2001 sur une base trimestrielle et regroupe quelque 400 sites de e-commerce. Reposant sur un panel de 25 sites qui pèsent plus de la moitié du commerce en ligne en France, le Baromètre permet de mesurer la croissance du commerce en ligne. Depuis novembre 2004, l’Association diffuse un indicateur complémentaire portant sur l’activité e-commerce des TPE et PME reposant sur les sites du réseau PowerBoutique.

(3) D’après une étude Médiamétrie//NetRating et la Fevad sur les intentions d’achats des internautes pour Noël 2008 réalisée du 3 au 13 octobre 2008 auprès d’un échantillon de 1 853 personnes de 15 ans et plus, représentatives des internautes français de 15 ans et plus.