Conservation des coordonnées bancaires

[Acrobate]

J'espère poster dans la bonne rubrique, sinon un modérateur pourra déplacer ce message.

Dans le numéro 496 de Que Choisir (octobre 2011), un article page 62 explique que "les sites marchands doivent effacer les données bancaires aussitôt la transaction effectuée".

J'ai travaillé il y a quelques années chez Amazon à un poste à responsabilité, et ce n'est pas du tout l'information que j'avais à l'époque. En effet, les coordonnées bancaires sont conservées par défaut sur les comptes des clients, et lorsque ceux-ci s'en émeuvent, les chargés de clientèle avaient à l'époque pour consigne de répondre qu'il s'agit d'une obligation légale, tous les commerçants vendant sur le territoire français (y compris les commerces "en dur") devant conserver les coordonnées bancaires de leurs clients pendant au moins 1 an après l'achat, afin de pouvoir les vérifier en cas de litige.

Cela dit je n'ai jamais vu ce texte de loi et je ne peux dont pas être certain que ce soit vrai ou pas, mais connaissant bien la politique et la philosophie d'Amazon, je serais étonné que les employés aient des consignes erronées sur un sujet aussi sensible.
En tout cas si c'est faux, ce n'est pas volontaire, il arrive que des rumeurs circulent dans les "call-centers", et tous les employés finissent y croire même si c'est faux.

Evidemment les clients peuvent supprimer ces informations, mais dans ce cas il faut savoir que lorsque vous croyez effacer vos coordonnées bancaires de votre compte client, en réalité rien n'est effacé, elles ne sont simplement plus disponibles pour vous !
Mais les informations sont conservées sur le serveur (sans limite de durée à ma connaissance), et les employés, eux, y ont toujours accès.
Ce qui ne pose d'ailleurs à mon sens aucun problème de sécurité puisque seuls sont accessibles les 4 derniers numéros de la carte. Et c'est bien utile pour rendre service aux clients (par exemple pour vérifier à leur demande si une carte a bien servi pour un achat, ou bien pour faire une recherche de compte associé).

En tout cas on peut remarquer que chaque mot est soigneusement pesé par l'équipe juridique de la société, puisque le site vous propose de "supprimer un mode de payement" (comprendre "supprimer une carte de la liste") et non pas "d'effacer vos informations bancaires sur le serveur", il y a une nuance de taille !

Il est important aussi de savoir que selon les sociétés vos coordonnées bancaires peuvent être plus ou moins protégées en interne. Chez Amazon par exemple aucun employé n'a accès aux informations bancaires complètes des clients, pas même les responsables, tous les numéros de la carte sont cryptés sauf les 4 derniers.
Par contre dans une autre grande société internationale que je ne citerai pas mais que je connais bien aussi, tous les employés utilisant le logiciel de gestion SAP (c'est à dire beaucoup) peuvent avoir accès aux informations bancaires en clair des clients, ce qui pose à mon avis clairement un problème de sécurité, car il serait très facile pour un employé malhonnête de copier ces informations et de les utiliser.

[MPhongsa]

Bonjour,

Très beau message de votre part. Très belle mise en garde !

Bien évidemment, chaque mot est soigneusement choisi par le service juridique d'une marque. Chaque mot à son importance. C'est à des associations telles que Que Choisir d'informer les consommateurs des risques qu'ils encourent. Et pour tous les sujets que nous ne pourront englober, nous comptons sur ce forum et sur les consommateurs pour s'informer les uns les autres.

Encore merci pour votre participation !

[Acrobate]

Merci Mickael. Malheureusement ça ne nous dit pas si la loi française oblige réellement les commerçants à conserver les données de la carte bancaires des clients, si un juriste passe par ici ce serait intéressant de le savoir...

[unbravgars]

Je ne sais pas ce qu’il en est de la légalité du stockage des numéros de cartes par les sites marchands mais j’imagine que la CNIL à dû s’en préoccuper aussi un peu. Par contre j’ai pu en constater quelques fâcheux effets, justement sur “Amazon.fr” par le biais de leur service de paiement “one-click”. Il n’est pas contestable que ce soit pour faciliter la saisie par le client qui n’a pas à re-saisir son numéro de carte bancaire à chaque nouvel achat (on clique et hop, c’est acheté) mais cela comporte quelques inconvénients. A l’occasion d’un achat passé j’ai saisi un numéro de carte à usage unique (one-shot, sécurisé, numéro affecté à la demande) avec validité maximale (3 mois par défaut). 'Amazon.fr' a reconnu ce numéro comme un numéro de carte VISA, l’achat s’est bien passé. Moins de 3 mois après j’ai fait un autre achat et comme je suis opposé à leur système de paiement “one-click”, j’ai fait bien attention à l’éviter pour imposer la re-saisie d'un autre numéro à usage unique. Pas le temps...!!! Alors que j’attendais que s’affiche un formulaire de saisie, ma commande a été directement acceptée avec son mode de paiement. Resultat : immédiatement après j’ai reçu un mail de prise en compte de ma commande et 45 minutes après un 2ème mail de rejet provisoire si le moyen de paiement n’est pas régularisé sous 9 jours. Donc pour finaliser mon achat j’y suis retourné et j’ai supprimé l’ancien numéro pour re-saisir un nouveau à usage unique.
Ben oui ! Un numéro à usage unique ça ne se traite pas comme un numéro de Carte Bleue classique et si le paiement a été refusé c’est parce que ce type de carte s’utilise à chaque fois en avec un montant maximum (ici, celui de l’achat précédent) et non pas parce que la carte n’est plus en cours de validité (justement elle l’était encore). Et c’est une sécurité supplémentaire parce que ce numéro là, personne ne peut plus s’en resservir avec un autre montant (même pas moi !). Si la carte avait été traitée correctement, ‘Amazon.fr’ aurait invalidé immédiatement ma commande et m’aurait réclamé un autre moyen de paiement. Mais pour cela il faut interroger la Banque tout de suite et faire attendre le client quelques secondes devant son écran... Ce que je n’aurais pas trouvé intolérable.
Alors voilà, au lieu de gagner du temps j’en ai perdu, ne serait-ce que pour le diagnostic puisque, et là c’est normal, le numéro de la carte du premier achat n’etait pas affiché complétement ! La galère !!! Hors 'Amazon.fr' je n’ai pas vu d’autre site marchand utiliser ces pratiques.
Cordialement.

[Acrobate]

Il faut savoir que le système est totalement incapable de faire la différence entre un "vrai" numéro de carte permanent, et un numéro à usage unique.
C'est la même chose pour les employés depuis leur système interne, ils n'ont aucun moyen de savoir de quel genre de carte il s'agit.

Je t'explique comment fonctionne la procédure... Après avoir validé ta commande, un test est effectué sur le compte bancaire du client pour vérifier qu'il est bien valide et approvisionné.
Mais ce n'est pas instantané, ça peut prendre de quelques secondes à plusieurs heures, ça dépend des serveurs, c'est automatisé avec les banques, et les employés n'ont strictement aucun contrôle là-dessus.

En principe il s'agit d'un test de prélèvement de 1€ invisible pour le client. Bien entendu cet euro n'est pas débité du compte, mais l'opération apparait parfois de manière temporaire lorsqu'on regarde son compte bancaire sur internet, et elle est effacée ensuite sur le relevé mensuel.

Parfois il arrive aussi qu'il y ait un test de prélèvement de la somme globale, en fonction du montant de la commande, de la banque, de l'adresse de livraison, et probablement d'autres critères que j'ignore.

Ensuite plus rien ne se passe jusqu'au moment de l'expédition, et c'est seulement là que le prélèvement de l'achat se fait, au dernier scan dans l'entrepôt, juste avant que le colis ne soit chargé dans le camion.

Pour en revenir à ta commande, le système ne pouvant pas deviner que tu avais utilisé une carte à usage unique, il a effectué les 1ers tests habituels, qui ont renvoyé des résultats négatifs, et tu as reçu des mails automatiques pour signaler qu'il y avait un problème avec la carte.

A ce stade là, soit tu entres un nouveau numéro de carte (ce que tu as fait si j'ai bien compris), soit la commande est automatiquement annulée au bout de quelques jours.

Donc rien que de très normal en fait ! Et tu n'as pas été prélevé abusivement, tout ce que tu as eu à faire c'était d'entrer un nouveau numéro de carte, donc je ne pense pas que ça t'ai vraiment provoqué de gros désagréments.

Et si j'étais un peu taquin, je dirais même que c'est quand même un peu de ta faute !
Parce que d'abord avant la validation de la commande, tu as une page récapitulative qui t'indique tous les détails, les articles, l'adresse de livraison, le prix, etc... et le mode de paiement.
Donc à ce stade tu pouvais déjà modifier ta carte, puisque tu savais très bien que le numéro précédent ne pouvait plus être utilisé.
Ensuite le système ne peut pas valider la commande à ta place, donc c'est bien toi et personne d'autre qui as cliqué sur le bouton de validation un peu trop vite.
Et pour finir, après la validation de la commande, lorsque tu as vu qu'il y avait un problème, tu pouvais très bien aller sur ton compte et l'annuler ou la modifier immédiatement.

Bref, j'espère que tu seras moins inquiet la prochaine fois en sachant comment ça fonctionne !

[joma74fr]

Extrait de http://www.cnil.fr/dossiers/argent/questions-reponses/
« J'ai effectué un paiement par carte bancaire sur un site internet, à cette occasion mon numéro de carte a été conservé. Est-ce légal ?
En effet, le numéro de carte bancaire est devenu un véritable outil d'identification, utilisé à des fins commerciales ou de lutte contre la fraude. En tout cas, la CNIL recommande que l'utilisation du numéro de carte bancaire à des fins d'identification commerciale soit subordonnée au recueil du consentement de la personne concernée. »

Extrait de http://www.cnil.fr/dossiers/deplacements-transports/fiches-pratiques/article/un-site-marchand-peut-il-conserver-mes-donnees-bancaires/
« Quelles sont les obligations des éditeurs de sites marchands en matière de sécurité et de confidentialité concernant les données bancaires ?
La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit "fort". Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet. L’accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l’adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l’adresse du site. »

De mon expérience personnelle : j'ai eu l'occasion de payer un Fai (fournisseur d'accès à internet) chaque mois et de payer régulièrement un opérateur mobile par recharges prépayées grâce à une carte bancaire préenregistrée sur une interface web. Cela facilite beaucoup les paiements (peu de formalité) ; trop peut-être ? Et le numéro de carte bancaire est à durée limitée (validité 2 ans) contrairement au numéro de compte bancaire ; cela me rassure (peut-être à tort). Pourtant qu'un créancier utilise ma carte bancaire à ma place, me rend perplexe : dans ce cas, l'autorisation de prélèvement automatique est peut-être plus adequat.

[unbravgars]

@Acrobate
Bonjour,
J’achète chez Amazon et n’ai pas à connaître leur fonctionnement interne.
La e-carte bleue est une extension virtuelle de la Carte Bleue matérielle, elle est très sécurisée, très utilisée en France et spécifiquement adaptée aux paiements sur Internet. Quand on propose du “one-click” on doit savoir gérer le “one-shot”. Pour ne pas risquer une ré-utilisation inapropriée d’un e-numéro le plus simple est de ne pas le conserver à des fins commerciales. Enfin, bien que les précautions d’usage concernant l’information du client soient respectées par Amazon je persiste à penser que le système proposé est piégeant. Bien qu’averti je suis tombé droit dedans. Je ne suis peut-être pas très adroit mais dire que c’est “...un peu de ma faute...” est effectivement “...taquin...”.
Cordialement.

[guibet]

une banque a-t-elle le droit de supprimer un découvert bancaire sous prétexte qu'il n'a pas été utilisé depuis plus d'un an ?

[marc spencer]

@ Acrobate

Je sais que cette discussion date de plus d"un an mais j'aimerais avoir vos connaissances concernant Amazon et je n'arrive pas à vous joindre par MP.

Merci d'avance.