La plateforme Neosurf de paiement en ligne sans carte bancaire écope d’une amende de la CNIL

La « solution de proximité pour payer sur internet avec des espèces », qui se vante de protéger la vie privée de ses utilisateurs, vient d'écoper d'une amende administrative de la CNIL pour « plusieurs manquements au RGPD ». Neosurf fait par ailleurs l'objet de très nombreuses arnaques, mais reste discrète à ce sujet.

« Neosurf permet à des millions d'internautes de payer et jouer en ligne sur plus de 20 000 sites », se targue son site web, qui met surtout en avant des sites de jeux (y compris d'argent) en ligne. Mieux : « Neosurf vous permet de payer en ligne sans carte bancaire et sans dévoiler ses informations personnelles ». Le service se présente en effet comme « la solution de proximité pour payer sur internet avec des espèces », et précise que « votre vie privée est protégée : pas besoin de compte ou de carte bancaire, ni d’informations personnelles ».

La CNIL, ayant procédé à deux contrôles sur place et en ligne, en octobre 2021, a de son côté « relevé des manquements concernant les durées de conservation des données de comptes utilisateurs, l’information des personnes, la sécurisation des données et les modalités de dépôt des cookies et traceurs sur le terminal des utilisateurs ».

Ce pourquoi elle a prononcé une sanction de 105 000 euros à l’encontre de la société NS CARDS FRANCE, maison mère de Neosurf, pour « non-respect des règles sur les cookies et traceurs » ainsi que pour « plusieurs manquements au RGPD », concernant la durée de conservation des données, l’information des personnes et la sécurité des données.

Les données des comptes étaient en effet « conservées pour une durée indéterminée », la société ayant défini une durée de conservation « de dix ans » à l’issue de laquelle les comptes utilisateurs « étaient désactivés, mais non supprimés », note la CNIL.

Or, dans sa délibération, on apprend que le rapporteur avait constaté que, lors de la création d’un compte utilisateur sur le site web neosurf.com, étaient collectés « le nom, le prénom, la date de naissance, l’adresse postale, l’adresse courriel, le numéro de téléphone et, le cas échéant, les coordonnées bancaires (lorsque l’utilisateur décide d’y adosser un porte-monnaie électronique), de même que des documents personnels, tels que des justificatifs d’identité et de domicile (lorsqu’un règlement excède un certain montant) ».

« Aucune purge n’avait été réalisée depuis 2005 »

Il a en outre relevé qu’ « aucune purge n’avait été réalisée dans les bases de données de la société depuis le début de son activité en 2005 ». Les données de « 70 049 comptes inactifs » étaient ainsi conservées « depuis plus de dix ans ». Et « 51 735 comptes étaient conservés sans finalité », dans la mesure où leurs adresses électroniques n’avaient pas été confirmées lors de la création de leurs comptes.

Pour sa défense, la société « a tout d’abord indiqué » avoir défini cette durée de conservation des comptes utilisateurs de dix ans à des fins de lutte contre le blanchiment et le financement du terrorisme (LCB-FT, ou KYC, pour « Know Your Customer » en anglais) « avant de déclarer », relève la CNIL, que cette durée n’était désormais plus appliquée qu’aux seuls contrats clients « conclus pour un montant supérieur à 120 € HT ».

Elle a également répliqué que les données des 70 049 comptes inactifs étaient conservées en base « depuis dix ans et non depuis plus de dix ans », et « fournit une nouvelle capture d’écran qui attesterait sans ambiguïté de la suppression des comptes inactifs depuis cinq ans ».

Quant aux 51 735 comptes non confirmés, la société affirme que les données associées ne sont conservées que pendant un an, « puis supprimées à défaut de confirmation du compte », afin de « permettre aux utilisateurs de disposer d’un temps adéquat pour confirmer leur compte ».

« En tout état de cause », souligne la délibération, la formation restreinte a considéré que dans ses observations en défense, la société avait justifié cette conservation d'une durée d'un an, et considéré que les éléments du dossier ne permettaient pas de caractériser un manquement au RGPD.

Une charte « incomplète et obsolète », « uniquement en anglais »

A contrario, la capture d’écran fournie par la société des 70 049 comptes inactifs « montrait la conservation de comptes inactifs depuis dix ans et non depuis plus de dix ans ». Et ce, sans qu’aucun tri n’ait été effectué entre les données à conserver et celles à supprimer. Ce qui caractérise un manquement au RGPD.

La politique de confidentialité de Neosurf, tant sur son site web que sur son application mobile, était de son côté « incomplète et obsolète », mais également « uniquement fournie en anglais ».

La formation restreinte relève en effet que la page d’accueil du site web et la page de création de compte utilisateur renvoyaient toutes deux vers des « versions incomplètes » de la politique de confidentialité datant de 2018 et de 2021, qui ne mentionnaient ni la durée de conservation des données ni le droit d’introduire une réclamation auprès de la CNIL.

« Près de 50 000 mots de passe étaient conservés en clair »

La CNIL a aussi constaté le dépôt de cookies Google Analytics sur le terminal de l’utilisateur « sans son accord », et que le site recourrait au module Google reCaptcha, là encore sans son accord « préalable », que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Les règles de complexité des mots de passe des comptes utilisateurs étaient en outre « insuffisamment robustes », et « près de 50 000 mots de passe étaient conservés en clair » dans sa base de données, et au surplus « associés à l’adresse électronique et l’identifiant des utilisateurs ».

Le rapporteur a en effet constaté que Neosurf n'exigeait que des mots de passe de six caractères composés de trois catégories de caractères (majuscules, minuscules et chiffres) « et dépourvus de mesure de sécurité complémentaire » telle qu'une authentification multi-facteurs, mais également qu’aucune restriction d’accès en cas d’échec d’authentification n’était mise en œuvre.

Et si les mots de passe qui n’étaient pas conservés en clair étaient « stockés sous une forme hachée et salée au moyen de la fonction SHA-1 », cette dernière est « réputée obsolète ».

Le « Guide de sélection d'algorithmes cryptographiques » de l'ANSSI, qui date de mars 2021, la qualifiait en effet de « fonction de hachage proscrite pour une utilisation générale ».

Environ 700 000 utilisateurs disposant d’un compte à date

La délibération de la CNIL indique que la société avait estimé que l’amende de 200 000 euros proposée par le rapporteur équivalant à 1,8 % de son chiffre d’affaires 2020 lui semblait « par conséquent excessive ».

Elle la qualifiait aussi de « disproportionnée par rapport aux manquements allégués », ainsi qu'au fait qu’elle avait mis en œuvre plusieurs mesures correctives suite aux contrôles de la CNIL.

À quoi la formation restreinte lui fit remarquer qu'elle revendiquait elle-même « environ 700 000 utilisateurs disposant d’un compte à la date des contrôles ». Mais également que ces manquements au RGPD sont passibles d’une amende administrative « pouvant s’élever jusqu’à 20 000 000 euros et jusqu’à 4 % du chiffre d’affaires annuel, le montant le plus élevé étant retenu ».

La société a en outre invoqué « la protection des secrets d’affaires dont relèveraient ses obligations contractuelles au titre du contrat conclu avec l’établissement émetteur de monnaie électronique » pour s'opposer à la publicité de la sanction.

La formation restreinte lui a répondu que « les informations relevant des secrets d’affaires sont occultées de ses décisions publiées », et que la décision « n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Neosurf ferait aussi l'objet de nombreuses arnaques

La formation restreinte précise par ailleurs que les « mise en conformité » auxquelles la société a depuis procédé, afin de corriger les problèmes identifiés par les contrôles de la CNIL, ne sauraient « exonérer la société de sa responsabilité pour le passé ».

Après en avoir délibéré, elle a finalement décidé de ramener à 105 000 € cumulés le montant des deux amendes administratives infligées à NS Cards France, la maison mère de neosurf.com, dont l'une des deux a été « prise en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique ».

Au-delà de cette sanction administrative, on notera qu'un site de la police belge et de nombreux articles de presse déplorent les pièges et arnaques dont les clients de Neosurf font l'objet, et dont ils sont très nombreux à se plaindre sur Trustpilot, Signal Arnaques (qui évoque « des arnaques en pagaille !»), les forums de Que Choisir, 60M de consommateurs et Paypal, notamment.

Signal Arnaques

Le nombre de litiges est tel que des arnaqueurs vont jusqu'à répondre aux victimes d'arnaques, en commentaires, avoir réussi à se faire rembourser en écrivant à « litigesneosurf @ gmail . com » et autres « assistancesneosurf @ gmail . com ». Sur TrustPilot, le support de Neosurf se retrouve ainsi à devoir alerter ses clients de ne surtout pas contacter ce type d'adresses et de ne passer que par son seul site web officiel.

Interrogé à ce sujet, Nicolas Saubié, le président de Neosurf, expliquait à Ouest France en 2021 avoir « créé une cellule spéciale » et disposer de « plusieurs moyens d’action : transmettre à la police les adresses web frauduleuses, contacter les hébergeurs des sites, et sensibiliser nos clients pour ne pas qu’ils divulguent leur code. »

Il reconnaissait cependant que « c’est un coup d’épée dans l’eau. Les hébergeurs sont dans des paradis fiscaux à l’étranger. Et à peine un site est désactivé qu’un autre se crée. On est toujours en retard. » Si les coupons sont anonymes, ils seraient cela dit « traçables par la police ». Mais « là encore, ça se termine souvent en Afrique, donc on ne peut rien faire », déplorait M. Saubié.

Andrea McGeachin, CEO de la branche internationale de Neosurf (qui revendique 1,3 million d'utilisateurs dans 74 pays), expliquait récemment avoir « amélioré de manière proactive notre produit de longue date – le Neosurf KYC Handshake – en intégrant des capacités de partage de données ». De sorte que « Neosurf garantit le respect total des réglementations anti-blanchiment d'argent tout en donnant la priorité à la confidentialité des joueurs et aux contrôles souhaités ».

Neosurf, très discret sur les arnaques dont ses clients font l'objet

Le site web de Neosurf (dont les « dernières actualités » datent de... 2020) fait comme si ces très nombreuses plaintes n'existaient pas, reste très discret sur ses efforts en matière de KYC, et n'utilise pas explicitement le terme d' « arnaque ».

« Ne communiquez jamais le code PIN de votre Ticket Neosurf par téléphone ou pour payer sur des sites de petites annonces tels que eBay, Leboncoin ou Gumtree », se borne à préciser la rubrique « fraude et sécurité » de sa FAQ de support, qui renvoie vers la liste des sites web acceptant Neosurf.

Son footer évoque cela dit des « CONSEILS » en matière de « Remboursement Neosurf » et d' « Activation Neosurf », qui renvoient vers deux articles de 2022 mentionnant explicitement deux autres risques d' « arnaques » : « Remboursement Neosurf : attention aux arnaques » et « Arnaque à l’Activation Neosurf, ne tombez pas dans ce piège ».

« De nombreux fraudeurs vont demander aux clients Neosurf d’activer leur code avant de pouvoir l’utiliser », précise Neosurf. « Le but de cette demande est simplement de voler l’argent en crédit sur le code ». La société souligne qu' « un code Neosurf n’a pas besoin d’être activé avant utilisation » et que lorsque vous en achetez un, « le code est déjà actif et prêt à être utilisé sans procédure supplémentaire ».

Un second article explique que de nombreux faux sites « usurpent l’identité de Neosurf » afin de proposer de se faire rembourser mais, en réalité, de « voler le code des Tickets Neosurf ». Il précise à ce titre que « la méthode officielle pour se faire rembourser son code Neosurf consiste dans un premier temps à créer un compte Neosurf sur le site https://www.myNeosurf.com ».

Le site web my-neosurf.com (nous mettons volontairement des liens vers des sauvegardes sur archive.org, ndlr), dont le nom de domaine a été déposé en juin 2023 et qui est hébergé à Chypre, clone ainsi le site officiel de remboursement de Neosurf, poussant le vice jusqu'à mettre en avant un article intitulé « Arnaque Neosurf : Comment obtenir un remboursement ? », afin de leurrer les victimes d'arnaques qui, de bonne foi, pourraient dès lors croire qu'il s'agit d'un site officiel de Neosurf.

L'article explique (ce qui est vrai) qu'une arnaque serait particulièrement prisée par des fraudeurs sur des sites comme LeBonCoin, et autres sites de petites annonces : « Les escrocs créent généralement des annonces immobilières très attractives, à des tarifs défiant toute concurrence, et demandent aux victimes potentielles de verser une caution ou un mois de loyer via Neosurf pour 'réserver' l'appartement. Une fois le code Neosurf partagé avec l'escroc, celui-ci disparaît, laissant la victime sans argent et sans appartement ».

« Si vous pensez être victime d'arnaque au ticket Neosurf, veuillez immédiatement faire une demande de remboursement », précise le faux site, qui invite les arnaqués à leur transmettre leurs (coor)données, allant jusqu'à réclamer leurs numéros de compte IBAN et Paypal, sans bien évidemment préciser que le site lui-même est une arnaque.

L'article de Neosurf consacré à l'usurpation d’identité précise de son côté qu' « une fois que le compte aura été vérifié par une procédure KYC (il faudra prouver son identité en envoyant des documents d’identification) il sera alors possible de demander un remboursement de tout ou partie du solde d’un Ticket Neosurf ».

A contrario, le faux site my-neosurf.com demande donc les références des comptes IBAN et Paypal avant même avoir d'abord vérifié l'identité de ses utilisateurs... autre signal faible indiquant qu'il s'agit bel et bien d'une arnaque.