Document

mis en distribution

le 4 juillet 2000

graphique

N° 2530

______

ASSEMBLÉE NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

ONZIÈME LÉGISLATURE

Enregistré à la Présidence de l'Assemblée nationale le 29 juin 2000.

RAPPORT

FAIT

AU NOM DE LA COMMISSION DES FINANCES, DE L'ÉCONOMIE GÉNÉRALE ET DU PLAN (1) SUR LA PROPOSITION DE RÉSOLUTION (n° 2397) de M. Jean-Pierre Brard, tendant à créer une commission d'enquête sur la sécurité des cartes bancaires.

PAR M. Jean-Pierre BRARD,

Député.

____

(1) La composition de cette commission figure au verso de la présente page.

Banques et établissements financiers

La commission des finances, de l'économie générale et du plan est composée de : M. Henri Emmanuelli, président ; M. Didier Migaud, rapporteur général ; MM. Michel Bouvard, Jean-Pierre Brard, Yves Tavernier, vice-présidents, MM. Pierre Bourguignon, Jean-Jacques Jégou, Michel Suchod, secrétaires ; MM.  Maurice Adevah-Poeuf, Philippe Auberger, François d'Aubert, Dominique Baert, Jean-Pierre Balligand, Gérard Bapt, François Baroin, Alain Barrau, Jacques Barrot, Christian Bergelin, Eric Besson, Alain Bocquet, Augustin Bonrepaux, Jean-Michel Boucheron, Mme Nicole Bricq, MM. Christian Cabal, Jérôme Cahuzac, Thierry Carcenac, Gilles Carrez, Henry Chabert, Didier Chouat, Alain Claeys, Charles de Courson, Christian Cuvilliez, Arthur Dehaine, Jean-Pierre Delalande, Francis Delattre, Yves Deniaud, Michel Destot, Patrick Devedjian, Laurent Dominati, Tony Dreyfus, Jean-Louis Dumont, Daniel Feurtet, Pierre Forgues, Gérard Fuchs, Gilbert Gantier, Jean de Gaulle, Hervé Gaymard, Jacques Guyard, Pierre Hériaud, Edmond Hervé, Jacques Heuclin, Jean-Louis Idiart, Mme Anne-Marie Idrac, MM. Michel Inchauspé, Jean-Pierre Kucheida, Marc Laffineur, Guy Lengagne, Jean-Marie Le Guen, Maurice Ligot, François Loos, Alain Madelin, Mme Béatrice Marre, MM. Pierre Méhaignerie, Louis Mexandeau, Gilbert Mitterrand, Jean Rigal, Alain Rodet, José Rossi, Nicolas Sarkozy, Gérard Saumade, Philippe Séguin, Georges Tron, Jean Vila.

Mesdames, Messieurs,

Avec près de 38 millions de cartes bancaires en circulation (leur nombre a presque doublé au cours des dix dernières années), plus de 2,9 milliards de transactions (soit près de 100 chaque seconde) et plus de un milliard de retraits auprès des distributeurs automatiques (soit plus de 30 par seconde), les cartes bancaires sont définitivement entrées dans la vie quotidienne de nos concitoyens.

Or, depuis le début de cette année, plusieurs faits sont venus ébranler la confiance qu'ils accordaient jusque là à la sécurité du système des cartes bancaires :

- en janvier, M. Serge Humpich, un ingénieur informaticien de 36 ans qui avait réussi à fabriquer des fausses cartes qui lui ont permis d'acheter des tickets de métro auprès d'un automate de la RATP, est condamné à 10 mois de prison avec sursis pour avoir frauduleusement accédé et s'être maintenu dans un système automatisé de données, y avoir frauduleusement introduit des données, avoir contrefait cinq cartes bancaires et avoir fait usage de celles-ci ;

- en mars, une des clés mathématiques de cryptage des cartes à puce est « publié » par un internaute anonyme sur le site d'un institut de recherche informatique ;

- en mars également, le chef du Service central de la sécurité des systèmes d'information (SCSSI, dépendant du Secrétariat général de la défense nationale) déclarait que « depuis longtemps, la vulnérabilité des cartes à puce est connue. Le mécanisme de sécurité utilisé date de dix à quinze ans. Pas étonnant qu'il présente une vulnérabilité ».

Devant cette accumulation, le Groupement des cartes bancaires (GCB) a tenu des propos rassurants, vantant la sécurité de son système depuis la généralisation, à partir de 1993, des cartes à puce. La conviction du groupement s'appuie bien évidemment sur des chiffres de fraude bien plus favorables qu'il y plusieurs années ou largement inférieurs à ceux qui sont constatés dans d'autres pays.

Sur les 853 milliards de francs de paiements effectués en France par cartes bancaires en 1999, le montant de la fraude s'est élevé à 178 millions de francs, soit un taux de 0,02 %. L'évolution de ce taux de fraude au cours des dernières années témoigne des progrès accomplis : il atteignait 0,27 % en 1987, 0,123 % en 1990 et 0,04 % en 1993.

Le taux de fraude est identique en ce qui concerne les retraits effectués auprès des distributeurs automatiques de billets : la fraude s'élève à 61 millions de francs pour des retraits totaux d'un montant de 383 milliards de francs.

Ces chiffres ont été contestés, tant en ce qui concerne la définition donnée à la fraude qu'en ce qui concerne l'étendue exacte de celle-ci.

En premier lieu, la contestation a porté sur la signification réelle de ces chiffres car, par fraude, le GCB n'entend que « le préjudice financier à la charge des banques résultant de l'utilisation frauduleuse de cartes perdues, volées, non parvenues ou contrefaites ».

Cette définition restrictive exclut donc par exemple, le préjudice subi par les commerçants ou prestataires de services. En effet, en cas de commande par téléphone, télécopie ou Internet, assortie d'un numéro de cartes qui se révèlerait volé, l'opération est annulée par la banque à la demande du possesseur de la carte au détriment du commerçant. Il convient de noter que ces cas de fraude sont appelés à se multiplier avec le développement du commerce électronique. Les paiements en ligne sont à l'origine de 50 % à 60 % des réclamations sur les paiements alors qu'ils ne représentent qu'à peine 2 % de l'utilisation des cartes bancaires. Néanmoins, force est de reconnaître qu'en l'espèce, c'est davantage la sécurisation des paiements en ligne qui est en cause que la sécurité des cartes bancaires stricto sensu.

En second lieu, le GCB a dû compléter ses chiffres en intégrant, dans la mesure de la fraude, ce qui concerne l'utilisation de cartes bancaires françaises à l'étranger et l'utilisation de cartes étrangères en France. En ces domaines, les taux de fraude annoncés sont près de 25 fois supérieurs à ceux indiqués ci-dessus. L'utilisation frauduleuse des cartes françaises pour des paiements à l'étranger représente 141 millions de francs pour des transactions totales de 30 milliards de francs, soit un taux de 0,47 %. S'agissant de l'utilisation frauduleuse de cartes étrangères en France, les chiffres sont respectivement de 220 millions de francs et 45 milliards de francs, ce qui représente un taux de fraude de 0,49 %. Le Groupement souligne que cette fraude élevée s'explique vraisemblablement par le fait que, pour ce type de paiements, il n'est pas fait utilisation de la puce intégrée sur les cartes françaises, mais de la seule piste magnétique, beaucoup moins sûre.

En tout état de cause, cette transparence hésitante et une certaine forme d'arrogance technologique, que l'on retrouve dans d'autres domaines, n'ont pas peu contribué à nourrir un débat alimenté par de nombreux ingénieurs et « bidouilleurs » informatiques, associations de consommateurs et de commerçants lésés, compagnies d'assurance peu promptes à reconduire les contrats d'assurance conclus avec le Groupement, etc...

De plus, comment l'opinion publique pouvait-elle interpréter un discours qui vante la sécurité du dispositif et, dans le même temps, annonce un plan de 300 millions de francs pour la « mise en place de toutes les mesures nécessaires pour renforcer la sécurité du système CB dans les meilleurs délais et les meilleures conditions possibles » ?

Madame la Secrétaire d'État aux PME, au commerce et à l'artisanat, en charge également de la consommation, s'est opportunément saisie du dossier, en organisant en avril dernier une réunion de concertation relative à la sécurité des paiements par carte bancaire. Cette réunion s'est achevée sur le principe de la création de deux groupes de travail, l'un technique et l'autre placé sous la houlette du Conseil national de la consommation, qui auront pour tâche d'étudier tous les problèmes relatifs à la sécurisation des moyens de paiement pour le commerce en ligne.

Il est dès lors légitime que la représentation nationale se saisisse, à son tour, d'un dossier qui préoccupe naturellement l'ensemble de nos concitoyens.

C'est la raison pour laquelle les membres du groupe communiste et apparentés ont déposé une proposition de résolution tendant à la création d'une commission d'enquête sur la sécurité des cartes bancaires (n° 2397). Plus précisément, les auteurs de cette proposition assignent à cette commission d'enquête le soin de mesurer l'ampleur réelle de l'usage frauduleux de cartes bancaires, d'apprécier la répartition de la charge financière de cette fraude sur les différents acteurs et d'apprécier l'adéquation entre les mesures annoncées par le GCB et les failles identifiées du système. De plus, elle aurait pour mission de proposer les modifications législatives de nature à prévenir la fraude et à rééquilibrer la répartition de sa charge financière entre les différents acteurs et, enfin, analyser les risques liés au développement du commerce électronique et les réponses juridiques et techniques pouvant leur être apportées.

La création d'une telle commission d'enquête ne pose pas de problème quant à sa recevabilité juridique. En effet, la condition posée au deuxième alinéa du paragraphe I de l'article 6 de l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires apparaît remplie. Le sujet sur lequel la commission d'enquête demandée serait chargée de réunir des éléments d'information apparaît suffisamment circonscrit pour que l'on puisse considérer qu'ils s'agissent de « faits déterminés ».

Bien qu'il figure au premier rang des signataires de cette proposition de résolution, votre Rapporteur s'interroge aujourd'hui, après avoir évoqué avec le Président de la commission des Finances les diverses possibilités d'investigation, sur l'opportunité de créer une telle commission d'enquête. En effet, il ne s'agit pas de nier l'intérêt de voir le Parlement se saisir d'un tel dossier. Au contraire, le présent rapport en souligne l'enjeu pour les consommateurs, les commerçants, les banques et l'ensemble des acteurs économiques intéressés à la sécurité des moyens de paiement.

Cependant, la formule de la commission d'enquête, par sa solennité et son caractère exceptionnel, serait de nature à troubler l'opinion, en laissant à penser que l'Assemblée nationale estime établie l'existence d'un problème grave, affectant la sécurité des paiements par cartes bancaires.

Or, tel n'est pas le sentiment des signataires de la résolution et de votre Rapporteur. Leur souci est simplement de clarifier la situation et d'analyser, aussi objectivement et sereinement que possible, l'ensemble des données d'un dossier aujourd'hui marqué par une relative cacophonie.

Dans ces conditions, l'Assemblée nationale en général, et la commission des Finances en particulier, dispose d'autres procédures d'investigation plus appropriées à un sujet de cette nature, pour lequel il importe avant tout de se garder de toute pression médiatique et tous risques de débordement.

C'est pourquoi votre Rapporteur, propose en définitive le rejet de la présente proposition de résolution, sous réserve que la commission des Finances désigne, par exemple à la rentrée d'automne, un rapporteur d'information sur le même sujet, cette procédure paraissant beaucoup mieux adaptée à l'objectif poursuivi.

Si le rapporteur d'information, dépourvu juridiquement de pouvoirs d'investigation contraignants, rencontrait la moindre difficulté pour obtenir la collaboration pleine et entière des différents acteurs concernés (ministères, banques, Groupement des cartes bancaires,...), alors, mais alors seulement, il serait nécessaire de créer une commission d'enquête.

EXAMEN EN COMMISSION

Au cours de sa séance du 28 juin 2000, la commission des Finances, de l'Économie générale et du Plan a examiné, sur le rapport de votre Rapporteur, la proposition de résolution tendant à créer une commission d'enquête sur la sécurité des cartes bancaires (n° 2397).

Après avoir rappelé les faits venus ébranler la confiance que le public accordait jusque là à la sécurité du système des cartes bancaires et les réponses apportées notamment par le Groupement des cartes bancaires, votre Rapporteur a indiqué que, suite à la discussion qu'il a eue avec le Président de la commission des Finances, il ne proposerait pas la création d'une commission d'enquête sur la sécurité des cartes bancaires, au profit de la désignation d'un rapporteur d'information sur le même sujet, précisant qu'il est candidat à cette tâche. Cependant, il a précisé que si le rapporteur d'information rencontrait alors la moindre difficulté pour obtenir la collaboration pleine et entière des différents acteurs concernés (ministères, banques, groupement des cartes bancaires,...), la demande de commission d'enquête pourrait alors être renouvelée.

Après avoir rappelé que près de 100 millions de cartes circulent en France, dont un tiers de cartes bancaires plus sûres que les autres, et qu'il existe une différence entre le système français et le système « on line » tel qu'il est pratiqué aux États-Unis, M. Pierre Hériaud a indiqué que son souci d'éviter d'entretenir un sentiment généralisé d'insécurité le conduisait à s'opposer, lui aussi, à la constitution de la commission d'enquête.

La Commission a ensuite approuvé les conclusions de votre Rapporteur tendant à rejeter la proposition de résolution (n° 2397) visant la création d'une commission d'enquête sur la sécurité des cartes bancaires.

2530 - Rapport de M. Jean-Pierre Brard, tendant à créer une commission d'enquête sur la sécurité des cartes bancaires (commission des finances).