Compromis entre la chaîne Target et les émetteurs Visa
Les principaux émetteurs apportent leur soutien à cette compensation pour la fuite de données de 2013.
En mai, un accord similaire avec MasterCard avait été conclu pour 19 millions de dollars. Il avait cependant échoué, faute de satisfaire l’exigence de Target, à savoir de recueillir l'accord exclusif d'au moins 90 % des émetteurs MasterCard impactés par la cyber-attaque. Selon le Wall Street Journal, la transaction avec Visa a plus de chances de s’appliquer : plusieurs de ses principaux émetteurs ont en effet annoncé leur adhésion au compromis. Le système de cartes a fixé au 4 septembre la date-limite pour rejoindre l’accord et renoncer à toute autre revendication.
Le piratage des données chez la chaîne de supermarchés américaine Target continue de faire jurisprudence. Un accord vient d'être annoncé avec Visa, afin de régler le litige né de la compromission, en décembre 2013, des données de quarante millions de cartes. Les émetteurs lésés pourraient être indemnisés collectivement de 67 millions de dollars. Cette somme compensera les coûts de réémission anticipée, ainsi que les pertes de fraude, y compris lorsque la transaction avait été routée par un autre réseau que Visanet (cas de certaines cartes de débit).
Notre Analyse : Une transposition législative qui met la pression sur le S. I.
Un seuil minimum de ratification est inclus dans ce type d’accord volontaire, avec engagement à renoncer à toute autre poursuite, pour éviter que des parties insatisfaites retournent ensuite devant les tribunaux. De fait, en mai, les émetteurs MasterCard, notamment les petites et moyennes banques, dont les credit unions, s'étaient bruyamment opposées à l'accord (voir l’Observatoire de mai 2015). Elles ont argué que leur plainte collective leur vaudrait une indemnisation certes plus tardive, mais plus élevée. Dans leur cas, il faut à présent attendre l’issue de procédures judiciaires.
Un compromis similaire a déjà fixé un précédent, pour une indemnisation cumulée de 100 millions de dollars : il s’agit des accords négociés par le processeur américain Heartland avec les émetteurs MasterCard et Visa, suite à la vaste compromission de ses données cartes de 2008. Rappelons qu’Heartland était alors déjà certifié PCI-DSS*, la norme internationale de protection de données monétique sensibles.