Après de nombreuses années en visiteur régulier du Monde.fr, votre serviteur s’est vu offrir l’édition abonnés Premium.
Première déconvenue, les concepteurs du site n’ont visiblement pas envisagé que l’on puisse offrir Le Monde en cadeau – la suite leur donnera fort ironiquement raison. Le généreux donateur créé donc un compte au nom de votre serviteur et se charge du paiement par carte bleue.
S’ensuit rapidement une autre déconvenue : le formulaire d’inscription autorise des caractères dans le mot de passe que l’écran de connexion n’autorise pas. Un frisson parcoure l’échine de votre serviteur : ces gens sont ou bien étourdis, ou bien n’ont pas de politique de sécurité des mots de passe établie et consistante. Au bénéfice du doute, disons qu’ils sont étourdis.
Vint ensuite un froncement très net des sourcils à la réception du mail de bienvenue qui contient le mot de passe du compte, créé à l’étape précédente. Sans chiffrement bien entendu. Une telle légèreté ne peut venir que d’une évaluation du risque qui a déterminé que l’interception du mot de passe de l’utilisateur ne présente pas de dangers.
N’est-ce pas ?
Ben non. Mais alors vraiment pas.
Après avoir farfouillé dans ses données utilisateur sur Lemonde, votre serviteur voit s’afficher devant lui la date d’expiration et les cinq derniers chiffres du numéro de carte bleue du généreux donateur.
Qu’à cela ne tienne, d’autre commerçants électroniques gardent une empreinte des coordonnées bancaires (Amazon par exemple, pour ne pas le citer). Rien de plus simple que de les supprimer.
Votre serviteur fouille, farfouille, cliquouille, pas moyen d’enlever l’empreinte de carte bleue.
Ah.
Un petit mail au support technique plus tard, vient la réponse empreinte d’incompétence technique ou de mauvaise foi (ou plutôt les deux à la fois) : Nous vous informons que cela n’est pas possible car nous ne stockons pas les coordonnées bancaires des abonnés. Vous pouvez vérifier dans vos coordonnées bancaires, les données sont cryptées, les chiffres sont remplacés par des xxx. Nous vous rappelons que les paiements sont sécurisés, en effet, grâce à la technologie de cryptage SSL, vous avez la garantie que la saisie de vos informations personnelles et bancaires est entièrement sécurisée.
Autre perle fournie gracieusement par le service client, issue des conditions générales de vente : « Dans le cadre d’un abonnement à durée libre, la reconduction de l’abonnement pour une durée égale est tacite et automatique. »
La reconduction de l’abonnement est tacite et automatique, mais Lemonde.fr ne conserve pas d’accès au compte de carte bleue. Ben voyons. Et la marmotte…
Votre serviteur se permet de rajouter ce paragraphe des conditions générales de vente (les majuscules sont originales) :
LE MONDE INTERACTIF NE SERA EN AUCUN CAS RESPONSABLE ENVERS L’UTILISATEUR DE DOMMAGES INDIRECTS, CONSÉCUTIFS, SPÉCIAUX, ACCESSOIRES, DISSUASIFS, DE LA PERTE DE L’INFORMATION OU DES PROBLÈMES SURVENUS LORS DU PAIEMENT ÉLECTRONIQUE, DE COÛTS LIÉS À UN RETARD OU À L’OBTENTION DE PRODUITS OU DE SERVICES DE REMPLACEMENT, QUELLE QU’EN SOIT LA CAUSE, BASÉE SUR UNE THÉORIE DE LA RESPONSABILITÉ (Y COMPRIS FORMELLE, CONTRACTUELLE, DÉLICTUELLE, CONSÉCUTIVE À DES DOMMAGES DANS LES LIMITES AUTORISÉES PAR LA LOI ET CAUSÉS PAR NÉGLIGENCE), RÉSULTANT DU PRÉSENT CONTRAT. CES LIMITES S’APPLIQUERONT MÊME SI UNE PARTIE A ÉTÉ AVISÉE DE LA SURVENANCE ÉVENTUELLE DESDITS DOMMAGES ET NONOBSTANT UN MANQUEMENT À L’OBJET PRINCIPAL D’UN RECOURS LIMITÉ.
Pour résumer la situation : Monde.fr traite les identifiants des utilisateurs avec la plus grande légèreté, se permet de conserver leurs coordonnées bancaires sans les en informer explicitement, renouvelle l’abonnement de manière implicite (tant qu’à avoir les coordonnées bancaires, autant s’en servir) et se lave les mains en cas de problème.
Quelques aller-retours de mails plus tard, le service client persiste et signe, les coordonnées bancaires doivent rester.
Pour rappeler les droits du consommateur, rien de tel qu’une lettre inspirée par la CNIL. Envoyée en recommandé avec accusé de réception par le site de la Poste.
Réponse immédiate du Monde.fr à réception du courrier : la suppression de l’abonnement. En violation flagrante de ce qu’en dit la CNIL :
À quelles conditions un site marchand peut-il néanmoins conserver mes données bancaires?
Oui, Les sites marchands peuvent conserver ces données à condition qu’ils aient recueilli votre accord exprès et qu’ils vous informent de l’objectif poursuivi. Cet accord nécessite une démarche active de votre part. Pour la matérialiser sur une boutique en ligne, il est conseillé d’utiliser par exemple une case à cocher. Par défaut, cette case doit être décochée.
La conservation du numéro de carte bancaire ne doit pas constituer une condition d’utilisation du service. Le fait pour un client de refuser qu’un site marchand conserve ses coordonnées bancaires ne doit pas l’empêcher d’accéder aux services proposés par le site.
La suite ? Le formulaire de plainte en ligne de la CNIL, cela s’entend, dès que les deux mois règlementaires se seront écoulés.