La question de la sécurité des cartes bancaires permettant des paiements sans contact grâce à l’utilisation des technologies développées autour du NFC (Near Field Communication), était posée depuis quelques années. La Cnil s’y est attelée, avec l’aide des professionnels du secteur bancaire, afin d’identifier les éventuels problèmes pour la protection des données personnelles et de la vie privée que le développement extrêmement rapide de ces nouveau moyens de paiement pouvait engendrer.
Sans surprise, malheureusement devrait-on dire, il a été constaté qu’il était possible d’intercepter les échanges de données personnelles entre la carte et le lecteur à proximité duquel elle est passée. Ainsi, les noms des porteurs des cartes ont-ils été lus, tout comme la liste des dernières transactions réalisées, le numéro de la carte et sa date d’expiration.
Depuis fin septembre 2012, les nouvelles cartes mises en circulation, dotées de la technologie sans contact, ne transmettent plus le nom de leur porteur. Celles qui devraient être déployées d’ici à la fin de cette année devraient ne plus transmettre la liste des dernières transactions. Restent le nom du porteur et le numéro de la carte qui, sans cryptage de l’échange des données, continueront à être transmises entre la carte ou le terminal mobile et le lecteur de carte.
Par ailleurs, la Cnil observe que les établissements de crédit ou de paiement qui permettent à leurs clients de ne pas activer la fonction de paiement à distance sans contact sont extrêmement rares, de sorte que les porteurs de cartes ne savent pas toujours que leur moyen de paiement est doté de cette fonctionnalité qui, parce qu’elle est préactivée au moment de la remise de la carte, ne peut donc pas être omise ou désactivée.
Aussi, la Cnil rappelle-t-elle que serait un comportement vertueux le fait pour ces établissements de n’activer la fonction de paiement sans contact qu’avec l’accord du porteur de la carte, ce dernier devant pouvoir être en mesure d’en demander la désactivation à tout moment.
Frédéric Forster
Lexing Droit Télécoms
Cnil, Rubrique Actualité, Article du 1-7-2013.