Protection des données personnelles: les sites d’e-commerce un peu trop négligents

Dashlane, une entreprise de gestion de mots de passe, a analysé la protection des données des sites les plus représentatifs de l’e-commerce français. Pour cela, ils ont sélectionné 100 sites web en se basant sur différents critères : chiffre d’affaires, rentabilité, croissance. De cette étude ressort un constat assez affligeant : les sites d’e-commerce sont loin d’être en pointe en matière de protection des données de leurs clients.

            {"type":"Pave-Haut2-Desktop"}
          

L’analyse porte particulièrement sur la façon dont les sites commerciaux proposent aux clients de saisir un mot de passe. 24 critères de sécurité ont permis de classer les sites entre eux du plus sécurisé au plus vulnérable : taille minimum du mot de passe, obligation de saisir un mot de passe alphanumérique (chiffres + lettres) ou encore interdiction de saisir un mot de passe trop simple à pirater.

Dashlane a notamment constaté que sur les 100 épinglés, 45 sites envoient encore un mail contenant identifiants et mot de passe en clair lors de la création du compte. Un côté pratique en cas de perte de mot de passe, le client n’a plus qu’à rechercher dans ses mails, mais une hérésie pour quiconque se soucie un peu de la sécurité de ses données. Un hacker ayant accès à vos mails pourra alors se connecter sur chacun de ces sites avec vos identifiants.

Responsabilité légale

Pierre Santamaria, responsable du business développement et du marketing de Dashlane en Europe, explique ce manque de sécurité :

« Souvent, les sites d’e-commerce considèrent que ce n’est pas leur problèmes mais celui de l’utilisateur. Je trouve que la responsabilité doit être aussi assumée du côté de l’entreprise. J’aime bien comparer à un grand restaurant : vous arrivez et donnez votre clé au voiturier, là il peut très bien la garer sur le trottoir avec les portes ouvertes ou la garer dans un parking en la fermant et emportant les clés avec lui. C’est un peu pareil avec le mot de passe, vous faites confiance au site qui l’héberge. »

Pour fo0, formateur et conseiller en sécurité auprès de plusieurs ONG, il y a une responsabilité légale pour ces sites. « Les entreprises doivent respecter la sécurité des clients, c’est dans la loi. Je pense qu’il faut qu’ils en prennent conscience et que ça n’évoluera pas tant qu’il n’y aura pas eu une ou deux condamnations. »

En haut du classement, on retrouve quand même les mastodontes du e-commerce comme eBay.fr, Leboncoin.fr ou Vente-privee.com. « Les acteurs en tête du classement sont d’abord des champions de l’e-commerce, mais aussi des acteurs de la grande distribution comme E-leclerc.com ou Carrefour.fr, constate Pierre Santamaria. Pour ces derniers, on était plutôt étonné, d’habitude les hypermarchés sont en retard sur internet. »

Confort de l’utilisateur

Du côté des « mauvais élèves », on remarque la présence de Decathlon.fr, Boulanger.fr ou Toutpargel.fr mais aussi de plus petits sites de commerce comme Cartoucheclub.com. Le rapport relève :

« Les consommateurs, qui ont déjà une tendance importante à réutiliser leur mot de passe, ont une tendance à le faire plus particulièrement sur les ‘petits’ sites, sur lesquels ils prévoient de ne faire qu’un seul achat, pensant que justement, cela ne vaut pas la peine d’utiliser un mot de passe plus compliqué puisqu’ils ne le retrouveront pas. Or l’expérience montre que les ‘petits’ sites sont plus fragiles vis-à-vis des brèches de sécurité car précisément, ils ont moins les moyens d’investir sur la sécurité. »

« Il y a un facteur qui rentre en compte chez des sites de ce genre, c’est le confort pour l’utilisateur, affirme fo0. Il y a des études marketing qui ont montré que, si on impose à l’utilisateur de créer un mot de passe de 10 caractères minimum, ça va les agacer et ils vont passer par un autre service. C’est complètement inconscient de penser comme ça. » Il considère que les entreprises ont tout intérêt à imposer plus de sécurité pour leurs mots de passe : « On peut souvent voir la qualité de la sécurité des données d’une entreprise à travers sa politique de mot de passe. De toute manière, quand un site limite ses mots de passe à 6 caractères, je conseille aux gens de ne pas y aller. «