• Home  / 
  • DELIBERATION 2010-141

DELIBERATION 2010-141

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Sur le rapport de Monsieur Jean Paul AMOUDRY, commissaire, et les observations de Madame Elisabeth ROLIN, commissaire du Gouvernement ;
Formule les observations suivantes :
La Banque Courtois a saisi la Commission nationale de l’informatique et des libertés d’un projet de traitement de données à caractère personnel dont la finalité est de détecter des suspicions de fraude à la carte bancaire.
Sur la procédure suivie auprès de la Commission
La Commission observe que le traitement a pour objet d’identifier des opérations réalisées par carte bancaire qui sont susceptibles d’être constitutives d’une fraude et nécessitent de ce fait une confirmation du porteur. Dès lors, ce traitement peut avoir pour effet d’empêcher, même temporairement, le porteur de faire usage de son moyen de paiement.
Il en résulte que le traitement mis en œuvre a pour effet d’exclure des personnes du bénéfice d’une prestation, l’utilisation d’une carte bancaire, en l’absence de toute disposition législative ou réglementaire le prévoyant. Dès lors, il relève du 4° de l’article 25 de la loi du 6 janvier 1978 modifiée et doit, à ce titre, être autorisé par la CNIL.
Sur les finalités et les fonctions du traitement
Le traitement vise à émettre des alertes en temps réel sur la base d’une analyse des transactions effectuées par carte bancaire, afin de détecter les éventuelles opérations frauduleuses et d’en limiter les conséquences dommageables en permettant l’adoption de mesures adaptées dans les meilleurs délais.
La Commission observe que les fraudes recherchées correspondent à des utilisations illégitimes d’une carte de paiement ou des données qui y sont attachées, lorsque ces utilisations risquent d’avoir des conséquences préjudiciables pour le porteur de la carte ou son établissement bancaire. Les utilisations d’une carte par son porteur légitime qui sont rendues irrégulières du seul fait d’un défaut de provision ne font pas partie des risques de fraude qui donnent lieu à la production d’alertes.
Les critères pris en compte pour la production des alertes sont :

  • le pays de réalisation de la transaction,
  • le mode de lecture de la carte,
  • la branche d’activité du commerçant acquéreur (sous la forme du code MCC, « Merchant Category code »),
  • le montant de l’opération réalisée
  • le nombre de transactions sur les dernières 24 heures et
  • le lieu de réalisation de la transaction qui peut être identifié par Visa ou le Groupement des cartes bancaires (GIE CB) comme un point de compromission.

A chaque alerte, un niveau de risque global est calculé sur la base de ces critères et des éventuelles alertes émises précédemment pour la même carte durant les dernières 24 heures.
La Commission observe que ce traitement de détection des alertes ne permet pas d’établir une liste noire des porteurs présentant un risque mais seulement d’analyser les alertes émises sur une carte pendant une durée de 24 heures glissant.
Les alertes ainsi obtenues sont traités selon les modalités suivantes :
En premier lieu, dans certaines hypothèses préalablement définies en fonction des critères mentionnés susvisés une procédure d’autorisation spécifique est mise en œuvre : le commerçant acquéreur est informé qu’il doit obtenir une autorisation verbale de sa banque pour que la transaction soit validée.
Dans d’autres cas, lorsque le personnel chargé de la gestion de la fraude au sein du Back Office Monétique central estime que le niveau de risque de fraude détecté est faible, il doit exclusivement :

  • entrer en contact téléphonique avec le porteur pour vérifier si ce dernier est à l’origine de la transaction à l’origine de l’alerte et
  • informer le chargé de clientèle du porteur qui, lorsque la cellule fraude ne réussit pas à entrer en contact avec ce dernier, est chargé de l’informer par tous moyens utiles.

La CNIL relève que le personnel de la gestion de la fraude au Back Office Monétique central n’est pas habilité à procéder, de sa propre initiative, au blocage du moyen de paiement ou même de la transaction.
En dernier lieu, en cas d’indice de risque de fraude jugé élevé ou en présence de plusieurs alertes, le chargé de clientèle du porteur de la carte bancaire peut décider d’appliquer à la carte bancaire une restriction temporaire de fonctionnement pendant le temps nécessaire à la prise de contact avec le porteur.
La Commission souligne que ce traitement ne peut pas donner lieu au blocage de la transaction ou à la mise en opposition de la carte bancaire sans avoir au préalable obtenu le consentement du porteur.
La Commission insiste cependant sur la nécessité de paramétrer le traitement automatisé en fonction d’un niveau de risque jugé acceptable par le responsable de traitement afin de ne pas multiplier le nombre de fausses alertes susceptibles de provoquer une gêne injustifiée pour les porteurs légitimes de cartes.
Ces caractéristiques du traitement ainsi définies sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Cette application permet par ailleurs d’effectuer un suivi du traitement des alertes qui en résultent, le temps nécessaire à leur résolution.
Enfin, elle permet d’établir une typologie des utilisations frauduleuses élaborée sur la base d’un traitement statistique de l’historique des transactions réalisées par carte bancaire puis de l’appliquer lors du traitement des demandes d’autorisations transmises à la banque en cas de paiement réalisé auprès d’un commerçant acquéreur via un terminal de paiement électronique, lors d’un retrait effectué auprès d’un distributeur automatique ou en cas d’opérations de paiement en ligne.
La Commission note en revanche que le traitement ne servira pas à identifier les commerçants ou les terminaux de paiements auxquels correspondent un taux significatif d’utilisations frauduleuses ou de tentatives d’utilisation frauduleuse.
Sur les données traitées et la durée de conservation :
Les catégories de données collectées dans le cadre du suivi des actions engagées sont :

  • le numéro et le type de carte bancaire,
  • l’identification et le numéro de téléphone du porteur,
  • l’identifiant du compte bancaire auquel est attachée la carte,
  • l’identité du chargé de clientèle, devant de prendre contact avec le porteur et celle de l’opérateur de la cellule fraude chargé du traitement de l’alerte,
  • les caractéristiques de l’alerte (la date de l’alerte, le pays d’origine de la demande, le niveau de risque attaché à la transaction et la nature de celle-ci : paiement ou retrait, le type d’alerte, les points de compromission détectés par le GIE CB ou VISA),
  • le compte rendu de traitement de l’alerte (date et heure de contact avec le porteur, action réalisées : client contacté, agence contactée, carte mise en opposition).
  • des commentaires provenant des contacts pris par le personnel habilité de la gestion de la fraude du service Back Office Monétique central, d’où sont exclus toute information sans rapport avec la finalité du traitement ainsi que tout jugement de valeur.

Les alertes sont conservées pendant une durée de 30 jours glissants.
L’actualisation du modèle est réalisée à partir de l’analyse des demandes d’autorisations, des transactions frauduleuses et des mises en opposition, l’ensemble de ces données étant anonymisées.
Sur les destinataires du traitement
Seuls ont accès au traitement de gestion des alertes :

  • les agents habilités en charge de la gestion de la fraude du service Back Office Monétique central et
  • les responsables de la Direction de la monétique.

Les chargés de clientèle et leurs directeurs d’agence peuvent également avoir connaissance des alertes pour les seules transactions de leurs clients.
Sur les modalités d’information et d’exercice des droits des personnes
Les personnes concernées sont informées de la mise en œuvre et des conséquences de ce traitement lors de la signature du contrat porteur.
Les personnes concernées peuvent exercer leur droit d’accès conformément aux dispositions de l’article 39 de la loi n°78-17 du 6 janvier 1978 modifiée en 2004.
Dans ces conditions, la Commission autorise la Banque Courtois à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre la fraude à la carte bancaire.

Le Président,


Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: