La légende du citoyen de verre: pourquoi les données de carte de crédit échappent à Big Brother
Social Bookmarks
Aujourd’hui, lorsque Monsieur et Madame Tout-le-monde vont faire leurs achats de la semaine chez leur commerçant favori, ils paient de plus en plus souvent par carte de crédit, comme l’a relevé l’Association suisse des banquiers (ASB) dans un numéro précédent d’insight. Selon un sondage récent du site comparatif Moneyland.ch, 71 % des utilisateurs interrogés jugent les cartes de crédit indispensables. Ce qu’ils ignorent peut-être, c’est que payer un achat par carte de crédit déclenche un processus complexe.1
Qui est partie prenante à la transaction et comment?
En règle générale, un paiement par carte de crédit implique quatre parties prenantes: le client, le commerçant, l’émetteur de la carte de crédit (issuer) et le prestataire de services de paiement du commerçant (acquirer). Les issuers sont le plus souvent des prestataires externes, mais il peut aussi s’agir de banques. Contrairement à une idée répandue, en cas de paiement par carte de crédit, le montant n’est pas transféré directement du client au commerçant. Comme l’indique le terme «crédit» dans la dénomination «carte de crédit», tout ce que le client octroie au commerçant est une promesse de paiement ainsi que le droit exclusif d’obtenir de l’issuer le paiement du montant dû. Le commerçant a alors besoin de quelqu’un qui se charge de réclamer l’argent à l’issuer. C’est là qu’intervient l’acquirer, en prenant toutes les mesures nécessaires pour que le règlement s’effectue: il transfère le montant dû au commerçant à titre de prestation préalable, puis il réclame ce même montant à l’issuer. Ce dernier avance alors la somme pour le compte du client, à qui il la facture ensuite.
Quelles sont les données nécessaires dans ce processus?
Avant que le moindre argent ne circule, c’est un flux complexe de données qui est activé. Pour que la transaction s’effectue dans des conditions de sécurité optimales, les parties prenantes doivent échanger diverses informations entre elles. On distingue ici entre données d’autorisation et données de transaction. Les premières permettent aux parties prenantes de vérifier avant tout si le déclenchement du paiement est possible. En cas de blocage de la carte ou de déclaration de perte, voire en cas de solde insuffisant, le paiement serait immédiatement refusé. L’ensemble de ces contrôles s’effectue en quelques millisecondes au point de vente. Une fois l’autorisation obtenue, la transaction s’effectue. Afin que les flux financiers circulent sans erreur, toutes les parties prenantes doivent recevoir un certain nombre de données de transaction, comme par exemple le numéro et le descriptif de la transaction, le montant de l’achat, le nom du titulaire de la carte, la date et l’heure, la monnaie, ainsi que des informations concernant le commerçant.
Et maintenant, qui voit quoi?
Aucune des parties prenantes n’a un accès complet à toutes ces informations, car les données circulent sous forme cryptée dans le réseau de la carte. Seule la partie prenante qui a besoin d’un point de données précis pour le traitement possède la clé de cryptage correspondante. L’acquirer par exemple, qui initie l’ensemble du processus, ne reçoit que les données nécessaires au traitement du paiement, à savoir notamment le montant, le numéro de carte ainsi que les informations pertinentes concernant le commerçant (localisation, entreprise et magasin). Ces données ne lui permettent de tirer aucune conclusion sur le comportement de paiement du client – quels sont les articles achetés, quel est le statut de la carte de crédit ou quel et le chiffre d’affaires réalisé avec cette carte. Pour sa part, l’issuer voit toutes les données nécessaires à la compensation du paiement et à la surveillance de la transaction, à l’identification du titulaire de la carte, à la prévention des fraudes à la carte de crédit, à la lutte contre le blanchiment d’argent et au paiement sans contact. Ces données sont en particulier le nom du titulaire de la carte, le montant de l’achat, la date et l’heure de la transaction ainsi que des informations sur le mode d’utilisation de la carte de crédit. L’issuer, comme l’acquirer, ignore quels sont les articles achetés. Il ne peut donc pas en déduire le comportement d’achat d’un individu ni effectuer ensuite un profilage sur la base d’un historique des achats. Enfin, les réseaux de cartes de crédit (p. ex. Mastercard ou Visa) ont accès au montant de l’achat et au nom du commerçant, mais jamais aux informations concernant le panier de marchandises. Ils sont configurés de telle sorte qu’il est impossible d’y enregistrer des données personnelles ou des données de transaction relatives à un individu. Ces données ne peuvent être collectées que sous une forme agrégée et anonymisée. Dès lors, on peut analyser le comportement d’achat de la population globale de manière agrégée et anonymisée, mais en aucun cas le comportement d’achat d’un individu.
Que fait le commerçant en fin de compte?
A l’aide d’un lecteur de cartes, le commerçant collecte les données pertinentes pour la transaction: le numéro et le type de carte, la date d’échéance, le montant de l’achat, la date et l’heure ainsi que d’autres informations qui apparaissent sur le ticket de caisse. Il est la seule partie prenante qui peut voir individuellement chacun des articles achetés. Vous craignez qu’il en profite pour analyser votre comportement d’achat? Pas d’inquiétude: en vertu de la loi fédérale sur la protection des données (LPD), aucun lien ne peut être établi entre le processus de paiement et le panier de marchandises, car les données ne doivent être traitées que dans le but indiqué lors de leur collecte. Un traitement subséquent visant à établir un historique des achats ne serait pas conforme au but initial – le paiement – et est donc interdit. Toutefois, si le client utilise une carte de fidélité délivrée par le commerçant, il autorise expressément ce dernier à établir un lien entre ses données d’achat et son profil de client. Seule l’utilisation de cartes de fidélité permet donc aux commerçants de collecter des données, d’analyser les comportements d’achat et d’organiser des campagnes publicitaires personnalisées. On estime qu’en 2017, sur 3,7 millions de ménages suisses au total, plus de 2,8 millions (soit plus de 75 %) ont utilisé le programme de fidélité d’un grand commerce de détail.
Qu’en est-il dès lors de la protection de la sphère privée?
Si la LPD assure un niveau élevé de protection des données personnelles, le secteur financier suisse va encore plus loin pour protéger ses clients: leurs données personnelles sont couvertes non seulement par les prescriptions légales sur la protection des données, mais aussi par le secret professionnel du banquier. En outre, le «Payment Card Industry Data Security Standard» (PCI-DSS), une autorégulation des réseaux de cartes de crédit, définit des règles complémentaires. Ces systèmes, en raison de leur dimension mondiale, conjuguent des exigences sévères en ce qui concerne l’attribution de licences aux membres et des règles extrêmement strictes en matière de gestion des données.
Les multiples informations négatives que diffusent les médias à propos de la protection des données suscitent de l’inquiétude parmi les consommateurs. Sans doute le caractère récent de cette problématique ainsi que le manque fréquent de transparence sur la collecte, l’utilisation et la transmission des données alimentent-ils cette inquiétude. Les membres des réseaux de cartes de crédit ont raison de la prendre au sérieux et de communiquer de manière plus proactive sur ce qui est techniquement possible et légal – ou pas – en matière de gestion des données. Quoi qu’il en soit, les réseaux de cartes de crédit sont des systèmes de communication extrêmement sûrs et n’ont rien à envier aux autres systèmes de paiement. Payer par carte de crédit ne fait de loin pas de nous des citoyens de verre – mais utiliser une carte de fidélité, si.
1 Par souci de simplicité, les paiements mobiles et les paiements en ligne ne sont pas pris en compte dans le présent article.