La sécurité des banques en ligne testée et pas toujours approuvée

Selon un audit réalisé par la Cnil auprès de dix services bancaires sur Internet, trois sites sur les dix contrôlés ne respectent pas globalement la confidentialité et la sécurité des données de leurs clients.

C'est l'un des premiers motifs de navigation des internautes. Et c'est aussi l'une des premières sources d'interrogation en matière de protection des données personnelles. Deux raisons pour lesquelles la Commission nationale de l'informatique et des libertés (Cnil) a souhaité se pencher sur les sites des banques. Au cours du premier semestre 2005, l'organisme a audité dix établissements, avec un questionnaire de 64 questions à l'appui.Elle vient d'en livrer les résultats, mais sans nommer aucune des banques interrogées, ce qui limite l'impact de son étude. Sur les dix sites passés en revue, la Cnil considère ' que sept sites respectent globalement la confidentalité et la sécurité des données '. Trois sites présentent, eux, des réponses jugées insuffisamment satisfaisantes dans ce domaine.Pour la Cnil, les internautes disposent, sur la plupart des sites, d'un bon niveau d'information (recommandations, aide en ligne, etc.). Et offrent une bonne sécurité de connexion, en recourant au protocole sécurisé HTTPS, en permettant une vérification possible de la date et de l'heure de la dernière connexion, en établissant une déconnexion automatique au bout d'un certain délai. De plus, même ' si la quasi-totalité des sites ne se réfère pas à des normes officielles de sécurité, nombreux sont ceux qui s'en inspirent '.

Un site sur deux gère mal les cookies

Des manques sont néanmoins soulignés. Ainsi, pour la Cnil, aucun site ne propose une ' authentification forte et incontestable ' des internautes, via une carte à puce ou une clé électronique unique. Tous se contentent d'identifiant et de mot de passe. La gestion des cookies (effacement des données après utilisation), elle, n'est pas satisfaisante pour la moitié des sites audités. Le mot de passe, pour sa part, est rarement remis sous pli confidentiel ou envoyé en recommandé, et est souvent inférieur à 7 caractères, avec une durée de vie illimitée (ce qui limite son efficacité). Par ailleurs, la quasi-totalité des sites n'offre pas la possibilité aux internautes de tester leur poste de travail ou de s'informer des mises à jour régulières des règles de sécurité.La Cnil s'est également penchée sur le cas de l'utilisation commerciale des données personnelles faite par les banques. Là aussi, le bon et le moins bon se côtoient. Si, dans tous les cas, il est fait mention de la loi Informatique et libertés sur les formulaires de collecte de données et dans les conditions générales d'utilisation, à l'inverse, pour 9 sites sur 10, le droit d'opposition à recevoir de la prospection par courrier postal ne peut, par exemple, pas sexercer en ligne.