Prouver son identité pour valider un achat : est-ce légal ?

27 décembre, 2023

Votre vendeur en ligne italien vous demande une copie de votre carte d’identité pour valider votre commande ? C'est ce qu'on appelle le KYC pour "Know Your Customer" ("connais ton client"). Certains vendeurs, français ou européens, cherchent juste à éviter les usurpations d’identité ou les fraudes au paiement. D'autres par contre, se servent de vos informations pour évaluer votre solvabilité, mieux vous cibler ou mieux connaître votre comportement d'achat. Comment faire face à ces techniques de marketing digital ? Comment sont-elles réglementées en Europe ? Explications et conseils dans cet article.

Pourquoi me demande-t-on de prouver mon identité avant d'acheter en ligne ?

Il n'est pas rare qu'un e-commerçant vous demande certaines informations dès le début de la commande ou avant de confirmer votre abonnement à un service.

Il s'agit généralement de données classiques telles que votre nom, vos coordonnées postales, votre adresse email ou un numéro de téléphone. Le vendeur en ligne peut également vérifier votre adresse IP voire analyser le type de matériel utilisé (PC, smartphone, quel système d’exploitation etc.) via des logiciels.

Certains vendeurs demandent également une copie de votre carte d'identité ou de votre passeport, ou tout autre document prouvant votre identité.

L'objectif de ces contrôles est de minimiser le risque de fraude au paiement ou l'usurpation d'identité.

Exemple : Vous avez régulièrement acheté sur un site danois pour des petits montants. Si vous décidez de commander pour une plus grosse somme, le site danois pourrait alors vous demander une preuve d’identité voire également un justificatif de domicile ou une autre preuve afin de s'assurer que vous êtes bien le même client que lors des autres commandes.

Les réseaux sociaux, certaines banques... peuvent également vous demander de vous filmer en selfie, afin de s’assurer que votre compte n'est pas un faux compte ou un compte robot.

Dans le domaine financier, bancaire et des assurances, la vérification de l'identité du client est courante et permet de lutter contre le blanchiment d’argent et le financement du terrorisme. Mais dans ce secteur, les pratiques du KYC ("Know your customer"/"Connais ton client") sont très encadrées en Europe. Plus d'informations dans notre article sur les comptes bancaires bloqués.

Demander une preuve d'identité pour valider un achat : est-ce légal ?

Pour un paiement par carte, les commerçants en ligne peuvent demander (et non exiger) une preuve d’identité. Mais le client a le droit de refuser de la donner. La Commission nationale Informatique et libertés a en effet clairement indiqué que si la collecte de l’identité du titulaire de la carte n’est pas nécessaire à la transaction, elle ne doit pas être demandée.

Bon à savoir : en France, le refus de vente est interdit sauf si le comportement du consommateur est inapproprié ou qu'il est de mauvaise foi. Si vous estimez être victime d’une telle discrimination, signalez-le sur www.signal.conso.gouv.fr

C'est souvent pour éviter les fraudes, que les commerçants en ligne demandent des informations personnelles aux acheteurs. Ils doivent cependant respecter les principes de protection des données du RGPD (règlement européen sur la protection des données).

Les informations récoltées ne peuvent par exemple, être utilisées que dans un but légal et légitime. Le vendeur en ligne, les réseaux sociaux ne peuvent pas utiliser vos données pour d'autres finalités. Ils ne peuvent pas non plus les conserver au-delà d’une durée justifiée et proportionnée. Vos données doivent être mises à jour et corrigées, et effacées après un certain temps. Et seules les personnes autorisées doivent avoir accès aux informations demandées dans le cadre du "Know your customer".

Vous devez bien sûr être informés si vos données sont inscrites dans des listes clients, vous devez y consentir et pouvoir faire opposition, y accéder et les rectifier.

Plus d’informations sur la protection de vos données personnelles dans l’Union européenne.

Bon à savoir : vous devez toujours donner votre accord si le site marchand vous propose de conserver vos données de carte bancaire pour des achats ultérieurs. Aucun site ne peut imposer l’enregistrement de la carte, ni recourir à des cases pré-cochées.

Conseils si vous décidez d'envoyer une preuve de votre d'identité

Barrez la photocopie de votre document d'identité et indiquez dessus la raison de l'envoi.

Exemple : "Cette photocopie ne peut être utilisée que pour valider ma commande / mon inscription n° XXX par le vendeur XXX ".

Datez la copie.
Masquez des informations de votre carte d’identité ou de votre passeport, comme le numéro du titre par exemple, notamment si vous envoyez une photo avec ce document.
Vous pouvez aussi utiliser l'outil mis en ligne par le gouvernement français : Filigrane Facile. Il vous permet d'insérer un texte personnalisé (ex : document exclusivement destiné à ma commande n°1253 auprès du vendeur X") en transparence sur votre document d’identité. Ainsi, votre document d’identité ne pourra pas être utilisé à des fins frauduleuses. Le fichier original n’est pas conservé sur le site et le fichier filigrané est effacé au plus tard un jour après avoir été généré.

Des informations qui servent aussi à évaluer votre solvabilité

Les informations que vous donnez au vendeur peuvent aussi lui servir à interroger en temps réel un service dit de "scoring". Le scoring est une technique de marketing qui consiste à analyser vos données et à vous affecter une note, un score qui vous classe selon votre probabilité d'achat, votre solvabilité, le gain ou le risque que vous pouvez générer.

Exemple : si vous avez vécu en Allemagne, le vendeur en ligne peut avec votre nom, interroger la "Schufa" (organisme de pointage/notation de crédit) pour connaître votre taux d’endettement.

Si votre scoring est bon, c'est à dire, si le pronostic sur votre comportement de paiement est bon, le vendeur en ligne pourrait vous proposer par exemple plus de moyens de paiement. Et si vous devenez un client régulier, il pourrait même vous proposer des modes de paiement plus "risqués" (cartes de crédit, paiement sur facture, prélèvements SEPA, ...) .

A contrario, si votre scoring est mauvais, vous n'aurez pas d'autres choix que de payer votre commande par anticipation.

Des informations qui servent aussi à mieux vous cibler

Les techniques de KYC ("connais ton client) permettent aussi aux commerçants d’adapter leurs techniques et moyens de vente au client.

Si vous participez régulièrement à des enquêtes ou sondage après achat, sachez que les vendeurs en ligne peuvent se servir de vos données socio-démographiques ( âge, sexe, situation familiale, profession), de vos données psychologiques (centres d’intérêt, opinions...), ou de vos données comportementales (historique d’achat, fréquence des achats, taux de réponse aux emailings,...) pour vous affecter un score et vous classer par exemple comme un client occasionnel, un acheteur régulier ou un client VIP.

Ainsi, les commerçants pourront adapter leur offre marketing à votre profil et à votre score : offres promotionnelles ciblées, produits proposés en avant-première, réductions etc.

Attention à ne pas vous laisser tenter par des offres dont vous n’avez pas réellement besoin. Posez-vous les bonnes questions avant d'acheter !

Votre adresse IP est aussi une donnée intéressante pour le commerçant car elle permet de savoir dans quel pays vous êtes et ainsi mieux paramétrer la langue du site marchand, les moyens de paiement et éventuellement bloquer la commande.

Exemple : l'adresse IP indique un pays dans lequel le vendeur ne livre pas mais le client choisit un autre pays de livraison.

Plus d'informations dans notre article sur la fin du géoblocage.

Des informations qui servent à mieux connaître votre comportement d'achat

Les demandes d'informations sous couvert du "Know your customer" permettent aussi aux commerçants de connaître votre comportement d'achat.

Exemples :

Le nombre de commandes retournées dans le délai de rétractation.
Les contestations de paiements via un chargeback que vous avez invoquées.
Le nombre de plaintes que vous avez envoyées au service clients.

Achat en ligne : n'envoyez jamais la photo de votre carte bancaire !

Lorsqu'un vendeur en ligne vous demande des informations pour prouver que vous êtes bien le propriétaire de la carte de paiement ou du compte bancaire, il cherche à s'assurer qu'il ne s'agit pas :

d'une fausse carte bancaire,
d’une carte bancaire volée,
de coordonnées de compte bancaire volées.

Attention : un vendeur en ligne qui vise la clientèle française ne peut pas vous demander la copie de votre carte bancaire, même si le cryptogramme visuel et une partie des numéros sont masqués. N'envoyez jamais une copie recto-verso de votre carte bancaire montrant le cryptogramme visuel. Privilégiez des sites à authentification forte.

Peut-on me demander ma carte d'identité pour réserver un hébergement en Europe ?

Pour réserver un hébergement dans l’Union européennene, certains hôteliers ou propriétaires de logement demandent de leur envoyer une copie d'un pièce d’identité. Mais, en principe, vous ne devez la produire qu’à votre arrivée.

En France, comme en Bulgarie, l’hôtelier n’a en principe pas le droit de copier votre carte d’identité ou votre passeport, ni aucun autre justificatif d’identité. Si vous êtes étranger (européen ou non), vous devrez présenter un document d'identité et remplir une "fiche individuelle de police". Et ce à des fins de préventions des troubles à l’ordre public, d’enquêtes judiciaires et de recherches dans l’intérêt des personnes. Cette fiche doit rester à la disposition des services de police/gendarmerie pendant 6 mois. Au delà, cette fiche doit être détruite de façon définitive et sécurisée.

En Allemagne, la carte d’identité ne peut pas être copiée ou enregistrée, contrairement à la Hongrie par exemple.

La notation sociale fait débat en Europe

Après un achat, un voyage, un séjour, un service en ligne, vous avez certainement reçu une invitation à "faire part de votre expérience", noter le produit, le restaurant, l'hôtel, le livreur, le taxi… Et bien sûr, vos commentaires sur les réseaux sociaux, vos avis en ligne, seront partagés, "likés" etc.

Ce système de notation permanente demandée à un consommateur dans tous ses comportements dans l’espace public ou en ligne, s'appelle la notation sociale (ou "social scoring" en anglais). Elle fait l'objet de débats au niveau européen.

Le Parlement européen a adopté le 6 octobre 2021 une résolution non contraignante demandant entres autres l'interdiction des systèmes de notation sociale.

Dans son projet d’avis sur la proposition de règlement européen sur l’intelligence artificielle, la commission de la culture et de l’éducation du Parlement européen propose "d’interdire les systèmes d'intelligence artificielle permettant la notation sociale et qui peuvent conduire à des résultats discriminatoires et à l’exclusion de certains groupes".

Vers une identité numérique européenne ?

En Europe, une proposition d'identité numérique européenne accessible dans tous les pays de l'UE est en cours. Concrètement, il s’agira d’une application utilisable dans n’importe quel pays de l'UE permettant aux Européens d’enregistrer différentes données et documents personnels. Elle leur permettra de s'identifier et de s'authentifier par voie électronique et de créer et d'utiliser des signatures et cachets électroniques acceptés dans toute l’UE. Plus d'informations sur le site de la Commission européenne.

Votre compte est bloqué ? Ce n’est pas toujours une histoire d’identité !

Vous n’arrivez plus à vous connecter sur votre réseau social ? Vous ne pouvez plus accéder à votre compte sur une plateforme de partage de contenu vidéo, et ne comprenez pas pourquoi votre compte a été bloqué ? Une vidéo que vous aviez publié a été retirée, mais vous n’avez pas reçu d’explications ?

Un blocage peut avoir diverses raisons, mais est souvent causé par un non-respect des conditions d’utilisation du service, telle que la publication d’un contenu illicite par exemple (contenu haineux par exemple).

Ce blocage peut avoir été effectué en toute légalité, d’autant plus que le règlement européen Digital Services Act (DSA)qui s’applique aux très grandes plateformes en ligne et moteurs de recherche depuis le 25 août 2023 et s’appliquera aux autres plateformes en ligne européennes ou visant des consommateurs européens à compter du 17 février 2024, renforce les règles en matière de modération de contenu.

Ce règlement prévoit qu’en cas de publication de contenus illicites ou d’usage de la plateforme incompatible avec ses conditions générales, la plateforme peut retirer un contenu que vous auriez publié par son biais, suspendre votre compte ou du moins suspendre votre accès à ses services, après avoir émis un avertissement préalable.

La plateforme doit avoir énoncé de manière claire et détaillées dans ses conditions générales, sa politique relative aux utilisations abusives en donnant des exemples de faits et circonstances permettant de comprendre ce qu’est une utilisation abusive et les durées de suspension fixées.

Elle peut parfois aller plus loin en fonction de la gravité des contenus publiés ou de l’utilisation abusive de ses services, et décider de clôturer définitivement votre compte ou de restreindre définitivement votre accès à un ou plusieurs de ses services.

Elle doit par contre dans tous les cas vous faire part de façon claire et compréhensible des éléments suivants :

les faits et circonstances qui l’ont amené à prendre cette décision ;
l’éventuelle existence de moyens automatisés utilisés pour prendre cette décision ou détecter le contenu illicite ;
les raisons pour lesquelles les contenus concernés sont considérés comme illicites ;
en cas de décision prise du fait d’un non-respect de ses conditions générales, vous indiquer quelle est la clause qui n’aurait pas été respectée.

Enfin, la plateforme doit vous informer de vos possibilités de recours (mécanisme interne de traitement, règlement extrajudiciaire du litige, recours judiciaire).

Elle doit en effet prévoir un système interne de traitement des réclamations vous permettant de contester toute décision vous concernant.

Vous devez pouvoir avoir accès à ce système durant une durée de 6 mois à compter de la notification de suspension ou de résiliation de votre compte ou du retrait du contenu que vous aviez publié.

Vous devez ensuite pouvoir obtenir une réponse en temps opportun et non discriminatoire, et être informé de la possibilité d’accéder à un médiateur certifié et des autres possibilités de recours disponibles.

Le défaut de mise en place d’un tel système interne de traitement des réclamations est notamment passible d’une amende allant jusqu’à 6% du chiffre d’affaire mondial annuel de la plateforme concernée.

Financé par l'Union européenne. Les points de vue et les opinions exprimés n'engagent toutefois que leur(s) auteur(s) et ne reflètent pas nécessairement ceux de l'Union européenne ou du Conseil européen de l'innovation et de l'Agence exécutive pour les petites et moyennes entreprises (EISMEA). Ni l'Union européenne ni l'autorité subventionnaire ne peuvent en être tenues pour responsables.

Nom	Motif	Durée de vie	Type	Fournisseur
CookieConsent	Enregistre votre consentement à l'utilisation de cookies.	1 an	HTML	Website
fe_typo_user	Associe votre navigateur à une session sur le serveur. Cela n'affecte que le contenu que vous voyez et n'est pas évalué ou traité.	session	HTTP	Website

Nom	Motif	Durée de vie	Type	Fournisseur
_fbp	Stocke l'ID unique du visiteur.	28 jours	HTML	facebook
facebookPixel	Si JavaScript n'est pas activé, ce pixel initie une connexion à facebook.	aucun	Pixel	facebook