Paiements à distance : le prix à payer… pour faire payer en toute sécurité

Un loueur de voiture à qui vous demandez, deux jours après la commande et la saisie de vos coordonnées de carte bleue par téléphone, une assurance supplémentaire, vous répond : « pas besoin de payer, nous avons déjà vos coordonnées bancaires ». Un e-commerçant qui prélève votre compte sans votre autorisation pour un abonnement « parce que vous avez donné ces coordonnées lors du dernier paiement ». Un assureur, qui, en agence, note votre numéro de CB pour effectuer lui-même le paiement de votre police… sur internet. Autant de situations de paiement à distance totalement insécurisées qui peuvent valoir au consommateur – et au commerçant contre qui ce dernier se retournerait, par exemple… dans une action de groupe, puisque celles-ci sont désormais permises en France – de très mauvaises surprises.
La sécurité des paiements en ligne est bien trop souvent prise à la légère par les commerçants, mais aussi par les clients – parfois parce qu’et les uns, et les autres, ne connaissent tout simplement pas les mesures à mettre en place pour l’assurer. L’industrie bancaire a publié une série de normes, qu’il est possible de mettre en œuvre et de faire auditer dans le monde entier, pour sécuriser les transactions en ligne et par téléphone, réunies sous l’acronyme PCI DSS.
Quel est le coût d’une mise à niveau ? Quelles sont les obligations ? Est-il possible pour un centre d’appels qui n’aurait pas les moyens de se mettre à niveau de faire supporter ces contraintes par un tiers ?
A l’approche du forum DHDB (Data Hacking Data Breaches : time to move on) qui se tiendra le 25 juin à Molitor (Paris), nous avons donné la parole à plusieurs observateurs aux prises directes avec la sécurité des données de leurs clients – et des clients de leurs clients – et mené notre enquête.