Transcription of Comité National SEPA
1 Comit National SEPA Guide de bonnes pratiques pour la constitution de la R f rence Unique de Mandat (RUM) Le passage au pr l vement SEPA entra ne l apparition d un nouveau document, le mandat de pr l vement SEPA, qui vient remplacer la demande et l autorisation de pr l vement National . A chaque mandat de pr l vement SEPA correspond une R f rence unique de mandat (RUM) qui, coupl e l Identifiant Cr ancier SEPA (ICS) propre chaque cr ancier, permet d identifier de mani re pr cise le contrat sous-jacent tout pr l vement SEPA. La RUM tant diffus e au payeur avant tout pr l vement SEPA, elle est susceptible d tre d tourn e par un tiers des fins frauduleuses, et doit donc faire l objet d une s rie de recommandations visant en garantir la s curit . 1/ D finition des donn es dites sensibles Certaines donn es ou fractions de donn es permettant une reconstitution compl te de la donn e initiale doivent tre consid r es comme sensibles lorsqu elles sont susceptibles d une r utilisation frauduleuse pour l mission d ordres de paiement non autoris s par le d tenteur du compte d bit.
2 Ces donn es sensibles recouvrent ainsi principalement les identifiants de compte de type International Bank Account Number (IBAN) ou Relev d Identit Bancaire (RIB), ainsi que les num ros de carte de paiement. Pour cette raison, il convient que tous les acteurs conomiques qui sont en possession de telles donn es, et notamment les cr anciers, les manient avec pr caution. D autres donn es (num ro de carte d identit , de passeport, de s curit sociale, etc.) ne devraient pas appara tre dans la RUM d un mandat de pr l vement SEPA en ce qu elles sont susceptibles de d tournement frauduleux. Leur traitement n entre toutefois pas dans le cadre de ce guide. 2/ Recommandations l attention des cr anciers pour la constitution des RUM a. viter l utilisation des donn es sensibles pour la constitution de la RUM Il est recommand aux cr anciers d viter d utiliser les donn es identifi es comme sensibles lors de la constitution des RUM des mandats de pr l vement SEPA qu ils produisent.
3 En effet, la RUM faisant partie des l ments transmis aux d biteurs, des risques r els de d tournement de cette information existent, pouvant mener des mouvements de fonds non autoris s sur les comptes des d biteurs dont les identifiants ont t d tourn s. b. Am nagements apporter dans les cas o des cr anciers utiliseraient d j des donn es sensibles pour constituer des RUM Dans le cas o un cr ancier utiliserait d j les donn es sensibles voqu es ci-dessus pour la constitution des RUM de ses mandats de pr l vement, des solutions pourraient tre mises en Comit National SEPA uvre afin d emp cher l utilisation frauduleuse de ces donn es, dans la mesure des possibilit s techniques laiss es ce cr ancier et condition que ces solutions ne remettent pas en cause sa migration vers le pr l vement SEPA. Les solutions envisag es pourraient consister en un masquage total ou partiel des donn es utilis es ou dans l laboration d algorithmes propres chaque cr ancier permettant de modifier les donn es apparaissant dans la RUM tout en g nant le moins possible le traitement en interne des contrats.
4 La mise en place de solutions de masquage ou d algorithmes ne peut remettre en question l obligation qu chaque mandat de pr l vement SEPA ne corresponde qu un seul couple RUM/ ICS. En aucun cas les solutions choisies ne doivent mener l existence de plusieurs RUM diff rentes pour un unique mandat de pr l vement SEPA. Le masquage total ou partiel de donn es sensibles d j utilis es dans des RUM ou la mise en place d algorithmes modifiant compl tement des RUM existantes entra nent n cessairement une modification de ces RUM et donc un amendement aux mandats de pr l vement SEPA concern s. L amendement des mandats de pr l vement SEPA doit suivre les proc dures d termin es par l European Payments Council (EPC) dans ses recueils de r gles, ainsi que par le Comit fran ais d organisation et de normalisation bancaires (CFONB) dans sa brochure Le pr l vement SEPA SEPA Core Direct Debit . Le masquage total ou partiel des donn es de la RUM Le masquage des donn es sensibles s entend comme un remplacement dans la RUM de caract res d termin s par d autres caract res choisis de mani re al atoire ou pr d finie ( la convenance du cr ancier et selon son besoin).
5 Les m thodes de masquage que peuvent employer les cr anciers sont laiss es leur libre convenance. Le masquage peut tre r alis l aide de tous les caract res autoris s dans la RUM par les recueils de r gles de l EPC, soit l ensemble des lettres de l alphabet latin en minuscules et majuscules, les chiffres de 0 9, tous les signes suivants : / - ? : ( ) . , ' + et l espace. Les solutions de masquage peuvent tre totales ou partielles. Un masquage partiel doit, pour tre efficace, emp cher la reconstitution compl te de la donn e initiale. Dans les deux cas, le cr ancier s assurera que la solution retenue lui permet bien de garantir l unicit du couple RUM/ICS pour chaque mandat. En vue de garantir leur efficacit la plus grande possible, les solutions de masquage doivent : - pour les identifiants de compte de type IBAN/RIB, masquer les caract res significatifs, soit le num ro de compte ou l une de ses parties (voir annexe).
6 - pour les num ros de carte de paiement, masquer les caract res significatifs, soit ceux qui ne font pas partie du code BIN (voir annexe). L utilisation des num ros de carte de paiement est d j soumise un ensemble de r gles de la profession qu il convient galement de respecter dans le cadre de la constitution de la RUM d un mandat de pr l vement SEPA. Comit National SEPA L laboration d algorithmes permettant de modifier les donn es apparaissant dans la RUM Les cr anciers qui utiliseraient d j des donn es sensibles pour la constitution des RUM de leurs mandats de pr l vement SEPA pourraient mettre au point des algorithmes permettant de modifier les donn es apparaissant dans celles-ci. Il s agirait alors pour les cr anciers de d terminer une r gle permettant de transformer les donn es sensibles actuellement utilis es en donn es al atoires. Cette solution pourrait permettre aux cr anciers concern s de continuer utiliser les solutions existantes pour le traitement interne de leurs fichiers tout en proposant en sortie pour les mandats de pr l vement SEPA des RUM ne contenant aucune donn e sensible.
7 Comit National SEPA Annexe : Structure d taill e des donn es sensibles mentionn es dans le guide International Bank Account Number (IBAN) Pour l IBAN fran ais compos de 27 caract res, la structure est la suivante : Le num ro de compte correspond aux onze caract res compris entre la 15 me et la 25 me position de l IBAN. Le masquage peut concerner la totalit des caract res du num ro de compte ou seulement certains d entre eux si cette derni re solution emp che la reconstitution du num ro de compte dans son int gralit . Relev d Identit Bancaire (RIB) Pour le RIB fran ais compos de 23 caract res, la structure est la suivante : Le num ro de compte correspond aux onze caract res compris entre la 11 me et la 21 me position du RIB. Le masquage peut concerner la totalit des caract res du num ro de compte ou seulement certains d entre eux si cette derni re solution emp che la reconstitution du num ro de compte dans son int gralit.
8 Num ro de carte de paiement Pour les num ros de carte de paiement utilis s en France et compos s de 16 caract res, la structure est la suivante : 1234 56 78 9123 456 7 Code BIN Num ro d identification de la carte Chiffre de contr le Les caract res masquer recouvrent les 10 derniers chiffres du num ro de la carte de paiement (num ro d identification de la carte et chiffre de contr le). Le masquage peut concerner la totalit de ces caract res ou seulement une partie d entre eux si cela permet d emp cher la reconstitution de l int gralit de la donn e initiale ; il est imp ratif que lors de l tablissement de la RUM ce masquage suive les derni res r gles professionnelles en vigueur dans le domaine. FR 14 20041 01005 05 0001 3M026 06 Code pays Cl Code banque Code guichet Num ro de compte Cl 20041 01005 0500013M026 06 Code banque Code guichet Num ro de compte Cl RIB
