Recommandation de la CNIL sur l’utilisation des cartes bancaires pour le paiement en ligne

Dans un communiqué du 25 février 2014, la CNIL précise les apports de sa recommandation du 14 novembre 2013 concernant le traitement des données bancaires à l’occasion de paiements en ligne. Elle a ainsi actualisé « les données pouvant être collectées ou non lors du paiement », « les conditions de recueil du consentement du client » ainsi que les « mesures de sécurité renforcées » à adopter, lesquelles concernent désormais toutes les cartes de paiement. La CNIL recommande également la notification, au titulaire de la carte « des failles de sécurité conduisant à la compromission de ses données bancaires », ainsi que « la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance ».

Pour lire le communiqué de la CNIL.

Pas d’accès frauduleux à un système non sécurisé

Dans un jugement du 23 avril 2013, le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, (…), en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées (…) aux seules personnes autorisées ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.

Pour lire le jugement sur Legalis.net.

Enquête de la CNIL sur la sécurité des cartes bancaires sans contact

Dans un communiqué du 10 mai 2012, la CNIL a annoncé l’ouverture d’une enquête technique suite à la révélation, dans plusieurs articles de presse, de problèmes de sécurité liés à des cartes bancaires sans contact. Il s’agit de cartes « équipées de la technologie sans fil  à courte portée et à haute fréquence NFC (Near Field Communication) » permettant de réaliser des transactions en les apposant simplement sur un terminal de paiement équipé d’un capteur. L’enquête de la CNIL vise à vérifier que des tiers non autorisés ne peuvent avoir accès aux données personnelles contenues dans ces cartes et que les organismes mettant en œuvre des traitements de données respectent bien leur obligation en matière de sécurité.

Pour lire le communiqué sur le site de la CNIL

L’utilisation des bracelets électroniques pour la surveillance indirecte des salariés

La CNIL a effectué deux contrôles en juin 2010 dans des établissements d'hébergement pour personnes âgées dépendantes (EHPAD) où l'utilisation du bracelet électronique des patients servait indirectement au contrôle de l’activité des salariés. Ces contrôles ont permis de révéler l’absence des formalités préalables et le défaut d'information tant des résidents et de leur famille que des salariés et de leurs instances représentatives. Lien vers l'article de la CNIL publié sur son site