Prouver son identité pour valider un achat : est-ce légal ?

Votre vendeur en ligne italien vous demande une copie de votre carte d’identité pour valider votre commande ? C'est ce qu'on appelle le KYC pour "Know Your Customer" ("connais ton client"). Certains vendeurs, français ou européens, cherchent juste à éviter les usurpations d’identité ou les fraudes au paiement. D'autres par contre, se servent de vos informations pour évaluer votre solvabilité, mieux vous cibler ou mieux connaître votre comportement d'achat. Comment faire face à ces techniques de marketing digital ? Comment sont-elles réglementées en Europe ? Explications et conseils dans cet article.

Pourquoi me demande-t-on de prouver mon identité avant d'acheter en ligne ?

Il n'est pas rare qu'un e-commerçant vous demande certaines informations dès le début de la commande ou avant de confirmer votre abonnement à un service. 

Il s'agit généralement de données classiques telles que votre nom, vos coordonnées postales, votre adresse email ou un numéro de téléphone. Le vendeur en ligne peut également vérifier votre adresse IP voire analyser le type de matériel utilisé (PC, smartphone, quel système d’exploitation etc.) via des logiciels. 

Certains vendeurs demandent également une copie de votre carte d'identité ou de votre passeport, ou tout autre document prouvant votre identité.

L'objectif de ces contrôles est de minimiser le risque de fraude au paiement ou l'usurpation d'identité.

Exemple : Vous avez régulièrement acheté sur un site danois pour des petits montants. Si vous décidez de commander pour une plus grosse somme, le site danois pourrait alors vous demander une preuve d’identité voire également un justificatif de domicile ou une autre preuve afin de s'assurer que vous êtes bien le même client que lors des autres commandes.

Les réseaux sociaux, certaines banques... peuvent également vous demander de vous filmer en selfie, afin de s’assurer que votre compte n'est pas un faux compte ou un compte robot.

Dans le domaine financier, bancaire et des assurances, la vérification de l'identité du client est courante et permet de lutter contre le blanchiment d’argent et le financement du terrorisme. Mais dans ce secteur, les pratiques du KYC ("Know your customer"/"Connais ton client") sont très encadrées en Europe. Plus d'informations dans notre article sur les comptes bancaires bloqués.

Demander une preuve d'identité pour valider un achat : est-ce légal ?

Pour un paiement par carte, les commerçants en ligne peuvent demander (et non exiger) une preuve d’identité. Mais le client a le droit de refuser de la donner. La Commission nationale Informatique et libertés a en effet clairement indiqué que si la collecte de l’identité du titulaire de la carte n’est pas nécessaire à la transaction, elle ne doit pas être demandée. 

Bon à savoir : en France, le refus de vente est interdit sauf si le comportement du consommateur est inapproprié ou qu'il est de mauvaise foi. Si vous estimez être victime d’une telle discrimination, signalez-le sur www.signal.conso.gouv.fr

C'est souvent pour éviter les fraudes, que les commerçants en ligne demandent des informations personnelles aux acheteurs. Ils doivent cependant respecter les principes de protection des données du RGPD (règlement européen sur la protection des données). 

Les informations récoltées ne peuvent par exemple, être utilisées que dans un but légal et légitime. Le vendeur en ligne, les réseaux sociaux ne peuvent pas utiliser vos données pour d'autres finalités. Ils ne peuvent pas non plus les conserver au-delà d’une durée justifiée et proportionnée. Vos données doivent être mises à jour et corrigées, et effacées après un certain temps. Et seules les personnes autorisées doivent avoir accès aux informations demandées dans le cadre du "Know your customer". 

Vous devez bien sûr être informés si vos données sont inscrites dans des listes clients, vous devez y consentir et pouvoir faire opposition, y accéder et les rectifier.

Plus d’informations sur la protection de vos données personnelles dans l’Union européenne.

Bon à savoir : vous devez toujours donner votre accord si le site marchand vous propose de conserver vos données de carte bancaire pour des achats ultérieurs. Aucun site ne peut imposer l’enregistrement de la carte, ni recourir à des cases pré-cochées.

Conseils si vous décidez d'envoyer une preuve de votre d'identité

  • Barrez la photocopie de votre document d'identité et indiquez dessus la raison de l'envoi.

Exemple : "Cette photocopie ne peut être utilisée que pour valider ma commande / mon inscription n° XXX par le vendeur XXX ".

  • Datez la copie.
  • Masquez des informations de votre carte d’identité ou de votre passeport, comme le numéro du titre par exemple, notamment si vous envoyez une photo avec ce document. 

Des informations qui servent aussi à évaluer votre solvabilité

Les informations que vous donnez au vendeur peuvent aussi lui servir à interroger en temps réel un service dit de "scoring".  Le scoring est une technique de marketing qui consiste à analyser vos données et à vous affecter une note, un score qui vous classe selon votre probabilité d'achat, votre solvabilité, le gain ou le risque que vous pouvez générer.

Exemple : si vous avez vécu en Allemagne, le vendeur en ligne peut avec votre nom, interroger la "Schufa" (organisme de pointage/notation de crédit) pour connaître votre taux d’endettement.

Si votre scoring est bon, c'est à dire, si le pronostic sur votre comportement de paiement est bon, le vendeur en ligne pourrait vous proposer par exemple plus de moyens de paiement. Et si vous devenez un client régulier, il pourrait même vous proposer des modes de paiement plus "risqués" (cartes de crédit, paiement sur facture, prélèvements SEPA, ...) .

A contrario, si votre scoring est mauvais, vous n'aurez pas d'autres choix que de payer votre commande par anticipation.  

Des informations qui servent aussi à mieux vous cibler

Les techniques de KYC ("connais ton client) permettent aussi aux commerçants d’adapter leurs techniques et moyens de vente au client.

Si vous participez régulièrement à des enquêtes ou sondage après achat, sachez que les vendeurs en ligne peuvent se servir de vos données socio-démographiques ( âge, sexe, situation familiale, profession), de vos données psychologiques (centres d’intérêt, opinions...), ou de vos données comportementales (historique d’achat, fréquence des achats, taux de réponse aux emailings,...) pour vous affecter un score et vous classer par exemple comme un client occasionnel, un acheteur régulier ou un client VIP.

Ainsi, les commerçants pourront adapter leur offre marketing à votre profil et à votre score : offres promotionnelles ciblées, produits proposés en avant-première, réductions etc.

Attention à ne pas vous laisser tenter par des offres dont vous n’avez pas réellement besoin. Posez-vous les bonnes questions avant d'acheter !

Votre adresse IP est aussi une donnée intéressante pour le commerçant car elle permet de savoir dans quel pays vous êtes et ainsi mieux paramétrer la langue du site marchand, les moyens de paiement et éventuellement bloquer la commande.

Exemple : l'adresse IP indique un pays dans lequel le vendeur ne livre pas mais le client choisit un autre pays de livraison.

Plus d'informations dans notre article sur la fin du géoblocage.

Des informations qui servent à mieux connaître votre comportement d'achat

Les demandes d'informations sous couvert du "Know your customer" permettent aussi aux commerçants de connaître votre comportement d'achat.

Exemples :

  • Le nombre de commandes retournées dans le délai de rétractation.
  • Les contestations de paiements via un chargeback que vous avez invoquées.
  • Le nombre de plaintes que vous avez envoyées au service clients.

Achat en ligne : n'envoyez jamais la photo de votre carte bancaire !

Lorsqu'un vendeur en ligne vous demande des informations pour prouver que vous êtes bien le propriétaire de la carte de paiement ou du compte bancaire, il cherche à s'assurer qu'il ne s'agit pas :

  • d'une fausse carte bancaire,
  • d’une carte bancaire volée,
  • de coordonnées de compte bancaire volées.

Attention : un vendeur en ligne qui vise la clientèle française ne peut pas vous demander la copie de votre carte bancaire, même si le cryptogramme visuel et une partie des numéros sont masqués. N'envoyez jamais une copie recto-verso de votre carte bancaire montrant le cryptogramme visuel. Privilégiez des sites à authentification forte

Peut-on me demander ma carte d'identité pour réserver un hébergement en Europe ?

Pour réserver un hébergement dans l’Union européennene, certains hôteliers ou propriétaires de logement demandent de leur envoyer une copie d'un pièce d’identité. Mais, en principe, vous ne devez la produire qu’à votre arrivée.

En France, comme en Bulgarie, l’hôtelier n’a en principe pas le droit de copier votre carte d’identité ou votre passeport, ni aucun autre justificatif d’identité. Si vous êtes étranger (européen ou non), vous devrez présenter un document d'identité et remplir une "fiche individuelle de police". Et ce à des fins de préventions des troubles à l’ordre public, d’enquêtes judiciaires et de recherches dans l’intérêt des personnes. Cette fiche doit rester à la disposition des services de police/gendarmerie pendant 6 mois. Au delà, cette fiche doit être détruite de façon définitive et sécurisée. 

En Allemagne, la carte d’identité ne peut pas être copiée ou enregistrée, contrairement à la Hongrie par exemple. 

La notation sociale fait débat en Europe

Après un achat, un voyage, un séjour, un service en ligne, vous avez certainement reçu une invitation à "faire part de votre expérience", noter le produit, le restaurant, l'hôtel, le livreur, le taxi… Et bien sûr, vos commentaires sur les réseaux sociaux, vos avis en ligne, seront partagés, "likés" etc.

Ce système de notation permanente demandée à un consommateur dans tous ses comportements dans l’espace public ou en ligne, s'appelle la notation sociale (ou "social scoring" en anglais). Elle fait l'objet de débats au niveau européen. 

Le Parlement européen a adopté le 6 octobre 2021 une résolution non contraignante demandant entres autres l'interdiction des systèmes de notation sociale.

Dans son projet d’avis sur la proposition de règlement européen sur l’intelligence artificielle, la commission de la culture et de l’éducation du Parlement européen propose "d’interdire les systèmes d'intelligence artificielle permettant la notation sociale et qui peuvent conduire à des résultats discriminatoires et à l’exclusion de certains groupes".

Vers une identité numérique européenne ?

En Europe, une proposition d'identité numérique européenne accessible dans tous les pays de l'UE est en cours. Concrètement, il s’agira d’une application utilisable dans n’importe quel pays de l'UE permettant aux Européens d’enregistrer différentes données et documents personnels. Elle leur permettra de s'identifier et de s'authentifier par voie électronique et de créer et d'utiliser des signatures et cachets électroniques acceptés dans toute l’UE.  Plus d'informations sur le site de la Commission européenne.