DossierFraude en ligne: état des lieux

Publié par Marie-juliette Levin le 16/04/2014

3 - Que faire en cas de fraude en ligne?

L'avocate Cathie Rosalie Joly, au cabinet Ulys, revient sur la marche à suivre en cas de fraude et sur les actions de prévention à déployer.

Imprimer

Que doit faire un e-marchand victime de fraude?
Il convient de conserver des preuves de l'infraction. Compte tenu du caractère volatil des données numériques, le constat d'huissier est un moyen de preuve souvent indispensable mais qui doit répondre à des exigences très strictes dans l'univers numérique. Elles vont dépendre du type de fraude rencontré. Tous les documents sous forme électronique peuvent potentiellement servir de preuve.
Enfin, il ne faut pas hésiter à déposer plainte avec constitution de partie civile.

Quelles actions les sites d'e-commerce doivent-ils mettre en place pour lutter contre la fraude externe dans le respect de la législation?
À titre préventif, l'e-commerçant dispose de plusieurs choix:
- opter pour des procédures d'authentification des paiements. Pour 3D Secure, l'internaute doit saisir, en plus du numéro de sa carte bancaire, sa date d'expiration et les trois chiffres du code de sécurité, ainsi qu'un mot de passe convenu avec sa banque (code dynamique à usage unique, date de naissance...);
- mettre en place des contrôles de détection des opérations suspectes sur base de faisceaux d'indices et établir une cartographie des risques afin de repérer les comportements suspects (achats multiples, nature des produits, montants d'achat, mode de livraison, etc.);
- avant d'intégrer une nouvelle solution de paiement sur son site e-commerce, vérifier que l'entreprise qui propose cette solution dispose des agréments et autorisations requis, consultables sur les sites des autorités de régulations (par exemple, en France, sur le site de l'Autorité de contrôle prudentiel et de résolution).
Le webmarchand devra également veiller à ne conserver les données bancaires des clients que sous forme cryptée, dans des systèmes d'informations sécurisés et pour une durée qui ne doit pas être excessive.

Les institutions accompagnent-elles suffisamment les e-marchands dans leur lutte contre la fraude?
C'est un sujet que les institutions ont investi très tôt. Bien évidemment, le problème est complexe et la sophistication des attaques rend la tâche difficile. Elle implique une évolution constante des niveaux de sécurité appliqués et une coordination européenne et internationale.
Dans la communication sur le commerce électronique publiée le 11 janvier 2012 par la Commission, 16 actions sont proposées, et notamment la mise en place de systèmes de règlement et de livraison fiables et efficaces en particulier s'agissant des achats transfrontaliers. Il faut donc renforcer le niveau de sécurité des paiements et de la protection des datas. Or, il est vrai que de nombreux textes européens sont en cours de réflexion à ce sujet.
Citons la proposition de règlement de l'UE sur la protection des données personnelles, dont une première mouture avait été publiée en janvier 2012 et modifiée début 2013. Ou encore une proposition de directive du 7 février 2013, destinée à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union (dite SRI). Bien évidemment, ces textes ne sont encore que des projets mais certains pourraient aboutir en fin d'année 2014 ou début 2015.

Et concernant la fraude interne?
La lutte contre ce problème commence toujours par la mise en place d'une organisation interne claire, dans laquelle sont définies des règles d'accès à certaines données sensibles. Une attention particulière est portée à la formation du personnel.
Des mesures techniques doivent ensuite renforcer l'organisation mise en place: affichage tronqué des données, cybersurveillance des transmissions réseau, etc. Mais attention, ce type d'outils doit être mis en place dans le respect de procédures destinées à éviter les atteintes à la vie privée du salarié. Il convient que les employés aient été préalablement informés, que les traitements mis en place et leur finalité aient été déclarés -voire autorisés, selon le traitement envisagé- par la Cnil.