• Home  / 
  • DELIBERATION 2007-324

DELIBERATION 2007-324

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n° 1 160 586)
La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 91/308/CE du Conseil du 10 juin 1991 modifiée relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la demande d’autorisation déposée par la Fédération du Crédit Mutuel d’Ile-de-France (FCMIDF) ;
Sur le rapport de M. Philippe NOGRIX, commissaire, et les observations de Mme Pascale COMPAGNIE, commissaire du gouvernement ;
Formule les observations suivantes :
La FCMIDF a saisi la Commission nationale de l’informatique et des libertés d’un projet de traitement de données à caractère personnel dont la finalité est de détecter des suspicions de fraude à la carte bancaire.
La Commission observe que le traitement a pour objet d’identifier les commerçants auxquels correspondent un taux significatif d’utilisations frauduleuses ou de tentatives d’utilisation frauduleuse et qui sont à ce titre soupçonnés de ne pas respecter leurs obligations issues du contrat d’adhésion au système de paiement de proximité par cartes bancaires. Dès lors, il est susceptible d’avoir pour effet d’empêcher, provisoirement, les porteurs de cartes bancaires d’en faire usage en présence de suspicions de fraude. Il en résulte que ce traitement a pour finalité pour des commerçants, et peut avoir pour effet pour des porteurs de cartes, d’exclure des personnes du bénéfice d’une prestation, l’utilisation de cartes bancaires en l’absence de toute disposition législative ou réglementaire prévoyant la mise en œuvre d’une telle exclusion.
Dès lors, il relève du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisé par la CNIL.
Le traitement DIANE vise à émettre des alertes en temps réel sur la base d’une analyse des demandes d’autorisation afin de s’opposer aux éventuelles transactions frauduleuses et d’identifier des points de compromission.
La Commission observe que les fraudes recherchées par le traitement DIANE correspondent aux utilisations illégitimes d’une carte de paiement ou des données qui lui sont attachées lorsque ces utilisations ont pour conséquence un préjudice pour le porteur de la carte, le commerçant acquéreur, le banquier du porteur ou celui de l’acquéreur.
Ces utilisations frauduleuses concernent les modalités de récupération et d’utilisation de la carte ou des données qui lui sont attachées, la zone géographique d’émission ou d’utilisation, le type de carte de paiement, à l’exclusion des utilisations d’une carte par son porteur légitime rendues illégitimes du seul fait d’un défaut de provision.
A cette fin, le traitement doit permettre au Service Sécurité Fraude (SSF) qui interviendra pour le compte de la FCMIDF :

  • d’analyser et de surveiller, au vu des demandes d’autorisation transmises par l’ensemble des commerçants, les modalités d’utilisation, d’une part, des cartes bancaires de ses clients porteurs, d’autre part, des terminaux de paiement électronique (TPE) des commerçants acquéreurs qui sont ses clients ;
  • de détecter le plus rapidement possible les suspicions de fraude liée à l’utilisation d’une carte de paiement, afin de limiter les conséquences de cette fraude grâce à l’adoption de mesures adaptées ;
  • de constituer une liste de cartes suspectées d’avoir été compromises (cartes à risques) à partir de ces suspicions de fraude, ainsi que des listes de numéros de carte enregistrés sur un point de vente compromis, transmises par le Groupement des cartes bancaires (GIE CB), et des demandes de vérification auprès du porteur de l'authenticité de certaines transactions ou vérification de l'identité du porteur transmises par les réseaux VISA et MCI et par le GIE CB.

Le traitement DIANE permet d’établir un modèle des risques d’utilisation frauduleuse, puis d’appliquer les critères ainsi identifiés lors du traitement des demandes d’autorisation transmises à la banque. Un niveau de risque global est calculé après chaque alerte concernant une carte. Il tient notamment compte des précédentes alertes conservées en mémoire pour la même carte (fréquence, niveaux de pondération respectifs) et de l’éventuel indice de compromission de la carte. Les alertes associées à un TPE donnent lieu à un calcul de même nature.
La Commission remarque qu’en cas de détection d’un risque de fraude, le SSF pourra, après analyse de la situation :

  • prévenir par courriel la caisse de crédit mutuel (CCM) du client porteur de la carte qui devra le prévenir pour vérification avant une éventuelle opposition ;
  • prévenir par courriel la CCM du client commerçant pour qu’elle l’interroge sur la réalité de ces opérations ;
  • en cas de fraude avérée et dans certaines circonstances rendant difficile l’appel du porteur (nuit, week-end), restreindre automatiquement et directement les conditions d’utilisation de la carte en abaissant son plafond d’autorisation.

La Commission prend acte que l’abaissement de ce plafond pourra être modulé en fonction des circonstances et ne concernera que certains pays à risque, certains types d’opérations, ou secteurs du commerce particulièrement risqués. En outre, un appel du client porteur pourra toujours autoriser le paiement visé. Si le contact n’a pu être établi au préalable avec le client, celui-ci sera contacté dès que possible, afin que d’éventuelles mesures plus rigoureuses soient mises en place si le client confirme la fraude. Enfin, le blocage de la carte ne pourra jamais être envisagé en l’absence d’une mise en opposition décidée par le client.
Cette limitation en fonction des seuls risques réellement identifiés de la portée des mesures susceptibles d’être prises sans l’accord du porteur de la carte est conforme au principe de proportionnalité issu de la loi du 6 janvier 1978.
La Commission insiste par ailleurs sur la nécessité de paramétrer le traitement automatisé en fonction d’un niveau de risque jugé acceptable par le responsable du traitement afin de ne pas multiplier inutilement le nombre de fausses alertes susceptibles de provoquer une gêne pour les porteurs légitimes des cartes. Ce paramétrage doit notamment tenir compte du fait que les données transactionnelles transmises aux systèmes de détection de la fraude sont parfois incomplètes ou inexactes. Pour maintenir un paramétrage adapté, il convient que les outils d’intelligence artificielle puissent s’appuyer sur une connaissance maximale de la fraude constatée a posteriori.
Lorsque le traitement aura permis de suspecter l’existence d’un point de compromission chez un commerçant client des CCM concernées, la banque se rapproche de ce dernier afin d’analyser les utilisations frauduleuses ou tentatives de fraude qui y ont été détectées. Aucune décision automatisée n’est donc prise à leur égard au vu des seuls résultats du traitement.
Les catégories de données traitées par DIANE concernent :

  • les demandes d’autorisation des transactions (montant, nature de l’opération, utilisation ou non de la puce électronique, date, devise, numéro de la carte de paiement, nom du titulaire de la carte) et le résultat de leur analyse (alerte éventuelle) ;
  • les commerçants accepteurs (enseigne, n° SIRET, n° TPE) 
  • les clients détenteurs d’une carte : l’ensemble des renseignements dont dispose la banque sur ses clients n’est pas utilisé de manière automatisée mais en tant que de besoin en cas de détection d’un risque de fraude afin de vérifier si les transactions engagées correspondent ou non au comportement habituel du porteur ;
  • les chargés de clientèle (nom), pour leur demander de prendre contact avec le client concerné ;
  • des commentaires, provenant des contacts pris par le SSF avec les CCM, d’où doivent être exclus toute information sans rapport avec la finalité du traitement ainsi que tout jugement de valeur.

Les critères pris en compte pour caractériser le niveau de risque lié à l’utilisation des cartes de paiement sont :

  • la nature de l’opération,
  • le montant de l’achat,
  • la date de l’achat,
  • le code pays de l’achat,
  • la devise de l’achat,
  • la localisation de l’achat,
  • la référence du commerçant,
  • la fréquence des opérations de même nature,
  • la conclusion de l’opération (refus ou acceptation de la transaction).

Les alertes sont prises en compte pendant dix jours glissants, puis conservées sous une forme indirectement nominative pendant six mois supplémentaires aux fins d’actualisation du modèle d’analyse utilisé.
Ces caractéristiques du traitement sont adéquates, pertinentes et non excessives au regard de sa finalité.
Les destinataires des données sont :

  • les agents habilités du SSF qui exploiteront les données pour le compte de la FCMIDF ;
  • les chargés de clientèle et les agents habilités des services de gestion des sinistres cartes des CCM concernées, pour les seules transactions les concernant ;
  • les organismes nationaux et internationaux (GIE Cartes Bancaires, VISA et MCI) en charge de la sécurité et de la fraude, pour les seuls numéros des cartes dont l’utilisation frauduleuse est avérée.

Les clients des CCM concernées, qu’ils soient porteurs de cartes ou commerçants accepteurs, seront informés de la mise en œuvre du dispositif d’alerte, de ses éventuelles conséquences à leur égard et sur les précautions à prendre, notamment avant un départ à l’étranger (donner à son agence un numéro de téléphone où l’on peut facilement être joint), au travers des fiches d’information sur les plafonds de retrait et de paiement par carte bancaire, au moment de la délivrance de leur carte de paiement ou de la mise en place d’un dispositif de lecture de cartes de paiement.
Par ailleurs, les commerçants exerçant leur droit d’accès pourront obtenir communication de l’ensemble des informations relatives aux tentatives de fraude suspectées ou réalisées à partir du système de paiement par carte bancaire qui a été installé à leur attention.
Dans ces conditions, la Commission autorise, la FCMIDF à mettre en œuvre le traitement de données à caractère personnel dénommé DIANE ayant pour finalité la lutte contre la fraude à la carte bancaire.

Le président,

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: