DELIBERATION n°2016-297 du 29 septembre 2016

Délibération n° 2016-297 du 29 septembre 2016 modifiant la délibération n° 2013-045 du 28 février 2013 autorisant la société RueduCommerce SA à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la détection des transactions présentant un risque de fraude

(demande d’autorisation n° 1627297)
La Commission nationale de l'informatique et des libertés,
Saisie par la société RueduCommerce SA d’une demande d’autorisation portant modification d’un traitement de données à caractère personnel ayant pour finalité la détection des transactions présentant un risque de fraude ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive 2009/136/CE du 25 novembre 2009 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 6-3°, 25-I-4°, 32-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2013-045 du 28 février 2013 autorisant la société RueduCommerce SA à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la détection des transactions présentant un risque de fraude ;
Vu la délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 03 034 du 19 juin 2003 ;
Vu la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 ;
Vu le dossier et ses compléments ;
Sur la proposition de M. François PELLEGRINI, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
La société RueduCommerce SA, ci-dessous dénommée RueduCommerce, commercialise des produits informatiques et électroniques grand public exclusivement par Internet (« pure player »).
Afin de lutter contre les tentatives de fraude à la carte bancaire effectuées lors d’achats à distance, elle a recours à un outil d’évaluation des risques présentés par ce type de transaction. Ce traitement a pour objet de détecter les transactions présentant un risque de fraude et susceptibles de générer un impayé.
La Commission considère que ce traitement peut avoir pour effet d’exclure des personnes du bénéfice d’un contrat en l’absence de toute disposition légale ou réglementaire le prévoyant, en leur ôtant la possibilité de recourir librement à ce mode de paiement à distance. Ce traitement relève donc du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit, à ce titre, faire l’objet d’une autorisation de la Commission.
A ce titre, la société RueduCommerce a été autorisée par la délibération n° 2013-045 du 28 février 2013 à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la détection des transactions présentant un risque de fraude.
Ce traitement comporte deux modules. Le premier module permet d’évaluer si les transactions de clients dits « à risque » – tels que les personnes résidant à l’étranger ou déclarant une adresse de livraison distincte de leur adresse de résidence – présentent ou non de réels risques de fraude, notamment via l’étude de documents justificatifs de leur identité et de leur domicile. Le second module permet d’enregistrer les données relatives aux clients suspectés de fraude et qui sont effectivement à l’origine d’un impayé, afin d’identifier, lors d’une prochaine commande, que leur dossier présente un risque particulier de fraude.
Les fraudes recherchées correspondent uniquement à des utilisations illégitimes de cartes bancaires ou de données qui y sont attachées, lorsque ces utilisations risquent d’avoir des conséquences préjudiciables pour la société RueduCommerce. Les utilisations d’une carte par son porteur légitime rendues irrégulières du seul fait d’un défaut de provision ne font pas partie des risques de fraude visés.
La société RueduCommerce a saisi la Commission d’une demande de modification de l’autorisation octroyée pour le traitement précité. Les modifications concernent la nature des données traitées et les caractéristiques du traitement.
En complément des données de connexion mentionnées dans la délibération n° 2013-045 du 28 février 2013, la société RueduCommerce souhaite collecter l’empreinte numérique du terminal (« device fingerprinting ») ayant permis de réaliser la commande.
L’analyse de l’empreinte numérique du terminal est une fonctionnalité de l’outil de détection de fraude proposé par le prestataire de services auquel la société RueduCommerce souhaite avoir recours, la société Cybersource Corporation. La société RueduCommerce souhaite que l’ensemble des commandes effectuées sur son site web fasse l’objet d’une analyse par cet outil.
L’empreinte numérique du terminal correspond à un identifiant généré à partir de la lecture des données techniques du terminal et du navigateur. Il permet d’individualiser les terminaux à partir desquels les achats sont réalisés via la collecte d’informations techniques. Ainsi, lors des commandes successives, cette donnée permettra de déterminer si elles ont été effectuées à partir d’un même poste informatique.
La collecte de cette donnée a pour seule finalité de protéger les personnes et la société RueduCommerce contre les risques d’usurpation d’identité et de piratage. En cas de transaction identifiée comme présentant un risque de fraude, la cellule chargée de la prévention de la fraude procède à une analyse approfondie de la commande afin de confirmer, ou non, le caractère frauduleux de la transaction. Un contact peut être pris avec le client pour lui demander, le cas échéant, de fournir les pièces justificatives susmentionnées, dans les conditions fixées par la délibération n° 2013-045 du 28 février 2013.
Si les vérifications complémentaires permettent d’écarter le risque de fraude, la commande se poursuit normalement. Dans le cas contraire, elle est annulée. En cas de fraude avérée, et si l’acheteur se manifeste à la suite de l’annulation de sa commande, il lui est proposé d’effectuer le règlement de celle-ci par le biais d’un moyen de paiement non opposable (tel que le mandat cash) afin qu’elle lui soit expédiée.
Au vu de ce qui précède, la Commission considère que cette donnée est adéquate, pertinente et non excessive au regard de la finalité poursuivie.
Toutefois, la Commission rappelle que la collecte de l’empreinte numérique du terminal, du fait qu’elle s’appuie sur la lecture d’informations provenant du terminal, n’est possible qu’à condition de respecter les dispositions de l’article 32-II de la loi du 6 janvier 1978 modifiée. Celles-ci prévoient que : « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable de traitement ou son représentant :

  • de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
  • des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement du terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

  • soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

En application de l’article précité, pour la finalité susmentionnée, la prise de l’empreinte numérique du terminal ne peut être effectuée tant que la personne n’a pas donné son accord. Le terme « accord » visé par cet article correspond au « consentement » défini à l’article 2 (h) de la directive 95/46/CE, c’est-à-dire « toute manifestation de volonté libre, spécifique et informée ».
Afin de proposer aux professionnels du secteur des lignes directrices, la CNIL a adopté la délibération précitée n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs. Cette recommandation s’applique tant aux cookies HTTP qu’aux autres traceurs, tels que les empreintes de terminaux, qui sont désignés par le terme générique cookies. Elle vise à interpréter les dispositions législatives précitées et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.
Cette recommandation rappelle que « la validité du consentement est liée à la qualité de l’information reçue ». La Commission recommande donc que ce consentement soit recueilli en deux étapes :

  • première étape : « l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal » ;
  • seconde étape : « les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités, notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience ».

En l’espèce, la société RueduCommerce prévoit la diffusion d’une bannière d’information préalable à la collecte des données. Cette mention d’information renvoie, grâce à un lien hypertexte, à la rubrique « Protection des données personnelles et cookies » du site web de la société RueduCommerce.
Au vu de ce qui précède, conformément à l’article 32-II précité, la Commission rappelle que, par le biais de ces dispositifs d’information, les personnes concernées doivent être informées de manière claire et complète de la finalité de la prise d’empreinte numérique du terminal aux fins de lutte contre la fraude et des moyens de s’y opposer. Cette obligation peut être atteinte par les mesures susmentionnées, permettant un recueil du consentement en deux étapes, ou par toute autre mesure d’effet équivalent.
La délibération précitée n° 2013-378 du 5 décembre 2013 précise en outre que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et n’est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement.
En l’espèce, lorsqu’une personne refuse la collecte de l’empreinte numérique de son terminal pour la finalité susmentionnée, la commande suit son cours ordinaire et cet attribut n’est pas pris en considération dans l’évaluation du risque présenté par la transaction.
Dans ces conditions, la Commission considère que la collecte de l’empreinte numérique du terminal, pour la finalité susmentionnée, est conforme aux dispositions de l’article 32-II de la loi du 6 janvier 1978 modifiée.
S’agissant du transfert de données, la finalité du transfert est l’analyse des risques présentés par la transaction réalisée à distance par carte bancaire. Les catégories de données visées par la délibération précitée n° 2013-045 du 28 février 2013 et mentionnées ci-dessus sont transmises au personnel habilité de la société Cybersource Corporation, prestataire de services situé aux Etats-Unis. Cette dernière assure l’hébergement de la solution permettant le traitement, la conservation des informations relatives à la transaction, le contrôle des transactions sur la base des informations fournies et l’évaluation d’un niveau de risque permettant à la société RueduCommerce de valider ou non la commande. Seuls les collaborateurs habilités de la cellule chargée de la prévention de la fraude de la société RueduCommerce peuvent avoir accès aux données.
Le transfert vers les Etats-Unis est encadré par la conclusion d’un contrat de transfert de données, rédigé sur le modèle des clauses contractuelles types de « responsable de traitement à sous-traitant » de la Commission européenne.
Dans ces conditions, la Commission autorise, conformément à la présente délibération, la société RueduCommerce à modifier le traitement susmentionné.
Pour La Présidente
Le Vice-Président Délégué
Marie-France MAZARS

Retourner en haut de la page