DELIBERATION n°2012-188 du 7 juin 2012

Délibération n° 2012-188 du 7 juin 2012 autorisant MEUBLES IKEA FRANCE SNC à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre la fraude et les impayés par carte bancaire

(Demande d’autorisation n° 1549376)
La Commission nationale de l’informatique et des libertés,
Saisie par MEUBLES IKEA FRANCE SNC d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre la fraude et les impayés par carte bancaire ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25, I, 4 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Bernard PEYRAT, commissaire et après avoir entendu les observations de Mme Elisabeth Rolin, commissaire du Gouvernement ;
Formule les observations suivantes :

Sur le responsable du traitement
MEUBLES IKEA France SNC
Sur la finalité
La société MEUBLES IKEA France SNC, ci-dessous dénommée IKEA commercialise du mobilier par internet. Afin de lutter contre les tentatives de fraudes à la carte bancaire effectuées lors d’achat à distance, elle a recours à un outil d’évaluation des risques présentés par ce type de transaction. Elle souhaite en outre inscrire sur une liste noire des données relatives aux commandes impayées.
La société IKEA a saisi la Commission nationale de l’informatique et des libertés d’une demande d’autorisation relative à la mise en œuvre d’un traitement ayant pour finalité la lutte contre la fraude et les impayés par carte bancaire.
La Commission observe que ce traitement a pour objet d’identifier les paiements par carte bancaire effectués à distance auprès de la société IKEA et présentant un risque de fraude susceptible de générer un impayé. Dès lors, elle considère que ce traitement peut avoir pour effet d’exclure des personnes du bénéfice d’un contrat en l’absence de toute disposition légale ou réglementaire le prévoyant en leur ôtant la possibilité de recourir à ce mode de paiement à distance. Il relève donc du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit, à ce titre, faire l’objet d’une autorisation de la Commission.
La Commission observe que les fraudes recherchées correspondent à des utilisations illégitimes de cartes bancaires ou des données qui y sont attachées, lorsque ces utilisations risquent d’avoir des conséquences préjudiciables pour la société IKEA. Les utilisations d’une carte par son porteur légitime qui sont rendues irrégulières du seul fait d’un défaut de provision ne font pas partie des risques de fraude qui donnent lieu à la production d’alerte.
La Commission considère que cette finalité est déterminée, explicite et légitime.
Sur les données traitées
Les catégories de données traitées sont les suivantes :
  • identification : nom, prénom, adresse postale de facturation, numéros de téléphone et adresse de courrier électronique, l’adhésion au programme de fidélité, le type de client et l’ancienneté de la relation ;
  • données de connexion : adresse IP
  • informations d’ordre économique et financière : type et numéro de la carte bancaire, date de validité ;
  • informations relatives à la commande : montant et le cas échéant, le montant cumulé sur une période déterminée, les références et la désignation du ou des produits, leurs prix unitaires, la quantité, le mode de livraison et le cas échéant, les données relatives à la livraison (identité du destinataire, adresse électronique, adresse postale, numéros de téléphone).
La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Ces données sont conservées pendant une durée de 90 jours dans la base active pour permettre de procéder à une analyse manuelle et approfondie des commandes effectuées pendant cette période et présentant une ou plusieurs caractéristiques identiques. Elles sont ensuite archivées pendant une durée de deux ans.
Dans l’hypothèse où une commande générerait un impayé l’adresse IP, l’adresse électronique, le ou les numéros de téléphone et le numéro de carte bancaire attachés à la commande sont inscrits sur une liste d’exclusion pendant une durée de deux ans.
Sur les destinataires
Seul le personnel habilité du service Prévention des fraudes de la société IKEA peut accéder à ce traitement.
Ces destinataires n’appellent pas d’observations de la part de la Commission.
Sur l’information et le droit d’accès
Les personnes concernées sont informées au préalable de la mise en œuvre du traitement, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, par une mention figurant dans les conditions générales de transport figurant sur le site internet d’IKEA.
Lorsqu’une commande génère un impayé les données mentionnées supra sont conservées en liste noire, la personne concernée est informée de cette conservation, de ses conséquences potentielles et de ses droits par courrier.
Les droits d’accès et de rectification s’exercent auprès du Service Vente à distance de MEUBLES IKES FRANCE SNC, 425 rue Henri Barbusse, 78 375 PLAISIR.
Sur les mesures de sécurité
L’authentification des utilisateurs, tant chez le sous-traitant que chez le responsable de traitement, respecte les recommandations de la Commission en la matière, à savoir une longueur minimale de 8 caractères, une durée de validité limitée et une minimum d’une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.
Les données sont intégralement chiffrées au moyen du protocole HTTPS lors de leur transmission du sous-traitant vers le responsable de traitement, ce qui permet de garantir leur confidentialité lors de leur transmission sur internet.
L’ensemble des actions effectuées par les destinataires des données sont tracées dans le système d’analyse des commandes afin de permettre de détecter et d’analyser tous accès, modifications et suppressions de données non autorisés.
Par ailleurs, les opérations opérées par les administrateurs du sous-traitant sont également intégralement journalisées. Ces données de journalisation sont conservées pendant 12 mois.
Les autres mesures de sécurité, tant physique que logiques n’appellent pas de remarque de la Commission.
Sur les autres caractéristiques du traitement
Les critères pris en compte pour l’analyse des risques présentés par la commande prennent en compte les données mentionnées supra et sont basés sur des règles de fréquence et de récurrence sur une période donnée.
L’ensemble des commandes passées sur le site ikea.fr font l’objet de cette analyse. En cas de transaction identifiée comme présentant un risque de fraude, le service Prévention des fraudes de la société IKEA procède à une analyse manuelle des éléments de la commande afin de confirmer ou non le caractère frauduleux. Si les vérifications complémentaires permettent d’écarter tous risques de fraude, la commande se poursuit normalement. Dans le cas contraire, elle est annulée. Le client en est informé et mis en mesure de présenter ses observations.
La Commission prend acte que conformément aux dispositions de l’article 10 de la loi du 6 janvier 1978 modifiée, les résultats du traitement feront l’objet d’une analyse manuelle.
La Commission observe qu’une partie du traitement sera réalisée par un sous-traitant. Elle prend acte que les données ne sont pas communiquées à d’autres personnes susceptibles de recourir aux services proposés par ce sous-traitant.

Autorise, conformément à la présente délibération, MEUBLES IKEA FRANCE SNC à mettre en œuvre le traitement susmentionné.
La Présidente
Isabelle FALQUE-PIERROTIN

Retourner en haut de la page