Prouver son identité pour valider un achat : est-ce légal ?
Votre vendeur en ligne italien vous demande une copie de votre carte d’identité pour valider votre commande ? C'est ce qu'on appelle le KYC pour "Know Your Customer" ("connais ton client"). Certains vendeurs, français ou européens, cherchent juste à éviter les usurpations d’identité ou les fraudes au paiement. D'autres par contre, se servent de vos informations pour évaluer votre solvabilité, mieux vous cibler ou connaître votre comportement d'achat. Comment faire face à ces techniques de marketing digital ? Comment l’Europe les règlemente-telle ? Explications et conseils dans cet article.
- Pourquoi me demande-t-on de prouver mon identité avant d'acheter en ligne ?
- Demander une preuve d'identité pour valider un achat : est-ce légal ?
- N'envoyez jamais la photo de votre carte bancaire !
- Peut-on me demander ma carte d'identité pour réserver un hébergement en Europe ?
- Conseils si vous décidez d'envoyer une preuve de votre identité
- A quoi peuvent servir les informations collectées ?
- La notation sociale interdite en Europe
- Vers une identité numérique européenne
- Votre compte est bloqué ? Ce n'est pas toujours une histoire d'identité !

Pourquoi me demande-t-on de prouver mon identité avant d'acheter en ligne ?
Il n'est pas rare qu'un e-commerçant vous demande certaines informations dès le début de la commande ou avant de confirmer votre abonnement à un service.
En général, il s'agit de données classiques. Il vous demande votre nom, vos coordonnées postales, votre adresse email ou un numéro de téléphone. Le vendeur en ligne peut également vérifier votre adresse IP. Ou il analyse le type de matériel utilisé (PC, smartphone, quel système d’exploitation etc.) via des logiciels.
Certains vendeurs demandent également une copie de votre carte d'identité ou de votre passeport, ou tout document prouvant votre identité.
L'objectif de ces contrôles est de minimiser le risque de fraude au paiement ou l'usurpation d'identité.
Exemple : Vous avez régulièrement acheté sur un site danois pour des petits montants. Si vous décidez de commander pour une plus grosse somme, le site danois pourrait alors vous demander une preuve d’identité. Il peut également demander un justificatif de domicile ou une autre preuve. Le but reste le même : s'assurer que vous êtes bien le même client que lors des autres commandes.
Les réseaux sociaux, certaines banques... peuvent également vous demander de vous filmer en selfie. Cela leur permet de s’assurer que votre compte n'est pas un faux compte ou un compte robot.
Dans le domaine financier, bancaire et des assurances, la vérification de l'identité du client est courante. Elle permet de lutter contre le blanchiment d’argent et le financement du terrorisme. Mais dans ce secteur, l'Europe encadre strictement les pratiques du KYC ("Know your customer"/"Connais ton client"). C’est particulièrement le cas dans le domaine financier et bancaire.
Demander une preuve d'identité pour valider un achat : est-ce légal ?
Pour un paiement par carte, les commerçants en ligne peuvent demander (et non exiger) une preuve d’identité. Mais le client a le droit de refuser de la donner. C’est ce qu’indique la Commission nationale Informatique et libertés. Si la collecte de l’identité n’est pas nécessaire à la transaction, le vendeur ne doit pas la demander.
Bon à savoir : la France interdit le refus de vente, sauf si le comportement du consommateur est inapproprié ou qu'il est de mauvaise foi. Si vous estimez être victime d’une telle discrimination, signalez-le sur www.signal.conso.gouv.fr.
C'est souvent pour éviter les fraudes, que les commerçants en ligne demandent des informations personnelles aux acheteurs. Ils doivent cependant respecter les principes de protection des données du RGPD (règlement européen sur la protection des données).
Les informations récoltées ne peuvent par exemple, être utilisées que dans un but légal et légitime. Le vendeur en ligne, les réseaux sociaux ne peuvent pas utiliser vos données pour d'autres finalités. Ils ne peuvent pas non plus les conserver au-delà d’une durée justifiée et proportionnée. Ils doivent mettre à jour, corriger, et effacer vos données après un certain temps. Et seules les personnes autorisées doivent avoir accès aux informations demandées dans le cadre du "Know your customer".
Vous devez bien sûr être informés si vos données sont inscrites dans des listes clients. Vous devez y consentir et pouvoir faire opposition, y accéder et les rectifier.
Bon à savoir : lorsqu’un site vous propose d’enregistrer votre carte bancaire, vous devez toujours donner votre accord. Aucun site ne peut vous imposer l’enregistrement de la carte, ni recourir à des cases pré-cochées.

Achat en ligne : n'envoyez jamais la photo de votre carte bancaire !
Lorsqu'un vendeur en ligne vous demande des informations pour prouver que vous êtes bien le propriétaire de la carte de paiement ou du compte bancaire, il cherche à s'assurer qu'il ne s'agit pas :
- d'une fausse carte bancaire,
- d’une carte bancaire volée,
- de coordonnées de compte bancaire volées.
Attention ! Un vendeur en ligne qui vise la clientèle française ne doit pas vous demander la copie de votre carte bancaire. Et ce même si le cryptogramme visuel et une partie des numéros sont masqués. N'envoyez jamais une copie recto-verso de votre carte bancaire montrant le cryptogramme visuel. Privilégiez des sites à authentification forte.
Peut-on me demander ma carte d'identité pour réserver un hébergement en Europe ?
Pour réserver un hébergement dans l’Union européennene, certains hôteliers ou propriétaires de logement demandent de leur envoyer une copie d'un pièce d’identité. Mais, en principe, vous ne devez la produire qu’à votre arrivée.
En France, comme en Bulgarie, l’hôtelier n’a a priori pas le droit de copier votre carte d’identité ou votre passeport. Idem pour tout autre justificatif d’identité. Si vous êtes étranger (européen ou non), vous devrez présenter un document d'identité et remplir une "fiche individuelle de police". Ce à des fins de prévention des troubles à l’ordre public, d’enquêtes judiciaires et de recherches dans l’intérêt des personnes. Cette fiche doit rester à la disposition des services de police/gendarmerie pendant 6 mois. Au-delà, elle doit être détruite de façon définitive et sécurisée.
En Allemagne, la carte d’identité ne peut pas être copiée ou enregistrée, contrairement à la Hongrie par exemple.
Conseils si vous décidez d'envoyer une preuve de votre d'identité
- Barrez la photocopie de votre document d'identité et indiquez dessus la raison de l'envoi.
Exemple : "Cette photocopie ne peut être utilisée que pour valider ma commande / mon inscription n° XXX par le vendeur XXX ".
- Datez la copie.
- Masquez certaines informations de votre carte d’identité ou de votre passeport. Par exemple, le numéro du titre, notamment si vous envoyez une photo avec ce document.
- Vous pouvez aussi utiliser l'outil mis en ligne par le gouvernement français : Filigrane Facile. Il vous permet d'insérer un texte personnalisé en transparence sur votre document d’identité. Par exemple : « document exclusivement destiné à ma commande n°1253 auprès du vendeur X ». Ainsi, votre document d’identité ne pourra pas être utilisé à des fins frauduleuses. Le site n’aura pas de copie du fichier original et effacera le fichier filigrané au plus tard un jour après.
A quoi peuvent servir les informations collectées ?
Les informations que vous donnez au vendeur peuvent aussi lui servir à établir en temps réel un système de "scoring". Le scoring ou notation est une technique de marketing qui consiste àanalyser vos données età vous affecter une note, un score. Cette note vous classe selon votre probabilité d'achat, votre solvabilité, le gain ou le risque que vous pouvez générer.
Exemple : si vous avez vécu en Allemagne, le vendeur en ligne peut avec votre nom, interroger la "Schufa". La Schufa est un organisme de pointage/notation de crédit qui permet de connaître votre taux d’endettement.
Si votre score est bon, alors le pronostic sur votre comportement de paiement sera favorable. Le vendeur en ligne pourrait vous proposer par exemple plus de moyens de paiement. Et si vous devenez un client régulier, il pourrait même vous proposer des modes de paiement plus "risqués". Par exemple, des cartes de crédit, un paiement sur facture, un prélèvement SEPA....
A contrario, si votre score est mauvais, vous n'aurez pas d'autres choix que de payer votre commande en amont.
Les techniques de KYC ("connais ton client") permettent aussi aux commerçants d’adapter leurs techniques et moyens de vente au client.
Peut-être participez-vous régulièrement à des enquêtes ou sondage après achat. Si c’est le cas, sachez que les vendeurs en ligne peuvent se servir de vos données socio-démographiques (âge, sexe, situation familiale, profession), de vos données psychologiques (centres d’intérêt, opinions...), ou de vos données comportementales (historique d’achat, fréquence des achats, taux de réponse aux emailings,...). Sur base de ces informations, ils vous affectent un score et une classification. Ils peuvent par exemple vous classer comme un client occasionnel, un acheteur régulier ou un client VIP.
Ainsi, les commerçants pourront adapter leur offre marketing à votre profil et à votre score. Selon votre profil, vous recevrez certaines offres promotionnelles ciblées, des produits proposés en avant-première, des réductions etc.
Attention à ne pas vous laisser tenter par des offres dont vous n’avez pas réellement besoin. Posez-vous les bonnes questions avant d'acheter !
Votre adresse IP est aussi une donnée intéressante car elle permet de savoir dans quel pays vous êtes. Le commerçant peut ainsi mieux paramétrer la langue de son site, les moyens de paiement ou éventuellement bloquer la commande.
Exemple : l'adresse IP indique un pays dans lequel le vendeur ne livre pas mais le client choisit un autre pays de livraison.
Les demandes d'informations sous couvert du "Know your customer" permettent aussi aux commerçants de connaître votre comportement d'achat.
Exemples :
- Le nombre de commandes renvoyées dans le délai de rétractation.
- Les contestations de paiements via un chargeback que vous avez invoquées.
- Le nombre de plaintes que vous avez envoyées au service client.

La notation sociale interdite en Europe
Après un achat, un voyage, un séjour, un service en ligne, vous avez certainement reçu une invitation à "faire part de votre expérience". On vous demande de noter le produit, le restaurant, l'hôtel, le livreur, le taxi… Et bien sûr, vos commentaires sur les réseaux sociaux, vos avis en ligne, seront partagés, "likés" etc.
Ce système de notation permanente demandée à un consommateur dans tous ses comportements dans l’espace public ou en ligne, s'appelle la notation sociale (ou "social scoring" en anglais). Grâce à des algorithmes basés sur l’intelligence artificielle (IA), vos habitudes d’achat peuvent être analysées en temps réel.
Depuis 2025, c’est une pratique interdite dans l’Union européenne. Le règlement européen sur l'intelligence artificielle, dit « IA Act », vise toutes les entreprises, en Europe comme ailleurs, qui vendent, utilisent et déploient des systèmes d’IA au sein de l’UE. Il a pour but de protéger les consommateurs européens contre les systèmes de notation sociale.
Selon l’IA Act, une entreprise n’a pas le droit de vous attribuer une note dans le but de vous donner accès ou vous restreindre certains avantages. Les consommateurs ne peuvent donc pas être évalués sur la base de leur comportement pour l’attribution de réductions, de crédits ou de délais de paiement.
Vers une identité numérique européenne
En Europe, une identité numérique européenne accessible dans tous les pays de l'UE devrait bientôt voir le jour. Un règlement européen adopté en 2024 prévoit de :
- Créer un portefeuille numérique européen (« EUDI Wallet »).
- Obliger chaque pays de l’UE à proposer une solution d’identité numérique reconnue partout sur le continent européen.
Concrètement, il s’agit d’une application utilisable dans n’importe quel pays de l'UE et qui permet d’enregistrer différentes données et documents personnels. Via cette application, vous pouvez vous identifier en ligne en sécurité sur les sites de service publics et privés sans recourir à des fournisseurs commerciaux extérieurs. L’application doit également permettre de créer et d'utiliser des signatures électroniques acceptées dans toute l’UE.
Le portefeuille d’identité numérique est également utilisable pour ouvrir un compte bancaire, pour obtenir un permis de conduire dématérialisé, ou encore des prescriptions médicales électronique.
En France, il est d’ores et déjà possible, lorsque l’on reçoit une nouvelle carte d’identité papier, de la lier à une version numérique dématérialisée. La carte d’identité électronique est ainsi accessible et utilisable depuis l’application France Identité. Et d’ici le mois de juin 2025, le portefeuille numérique européen sera plus largement déployé dans toute l’Europe. De quoi simplifier bon nombre de démarches administratives à l’étranger, comme louer une voiture ou s’enregistrer dans un hôtel.

Votre compte est bloqué ? Ce n’est pas toujours une histoire d’identité !
Vous n’arrivez plus à vous connecter sur votre réseau social ? Vous ne comprenez pas pourquoi votre compte sur une plateforme de partage de contenu vidéo a été bloqué ? Une vidéo que vous aviez publiée a été retirée, mais vous n’avez pas reçu d’explications ?
Un blocage peut avoir diverses raisons, mais est souvent causé par un non-respect des conditions d’utilisation du service. Par exemple, vous avez publié un contenu haineux, et donc considéré comme illicite par la plateforme.
Quand et comment une plateforme a-t-elle le droit de vous couper l’accès ?
Ce blocage peut tout à fait être légal. Le règlement européen Digital Services Act (DSA) renforce les règles en matière de modération de contenu. Il s’applique à toute plateforme en ligne européenne ou qui vise des consommateurs européens depuis 2024.
Selon ce règlement, un utilisateur peut être sanctionné s’il publie des contenus illicites ou incompatibles avec les conditions générales. La plateforme peut alors retirer ce contenu, suspendre le compte ou du moins suspendre l’accès à ses services, après avoir émis un avertissement préalable.
Elle doit avoir énoncé sa politique relative aux utilisations abusives de manière claire et détaillée dans ses conditions générales. Il faut notamment donner des exemples de faits et circonstances. Cela permet à l’utilisateur de comprendre ce qu’est une utilisation abusive et quelles sont les durées de suspension fixées.
La plateforme peut parfois aller plus loin selon la gravité des contenus publiés ou de l’utilisation abusive de ses services. Elle peut par exemple décider de clôturer définitivement votre compte. Ou alors, elle peut restreindre définitivement votre accès à un ou plusieurs de ses services.
Elle doit par contre dans tous les cas vous donner certaines explications.
- Les faits et circonstances qui l’ont amené à prendre cette décision.
- L’éventuelle existence de moyens automatisés utilisés pour prendre cette décision ou détecter le contenu illicite.
- Les raisons pour lesquelles les contenus concernés sont considérés comme illicites.
- Elle doit vous indiquer quelle est la clause dans ses conditions générales que vous n’auriez pas respectée.
Quel recours après un blocage de compte ?
La plateforme doit vous informer des recours possibles (mécanisme interne de traitement, règlement extrajudiciaire du litige, recours judiciaire). Via un système interne de traitement des réclamations, vous devez pouvoir contester toute décision vous concernant. Vous avez accès à ce système durant une durée de 6 mois. Et ce à compter de la notification de suspension, de résiliation du compte ou du retrait du contenu publié.
En plus d’une réponse à votre demande, la plateforme doit vous informer de la possibilité d’accéder à un médiateur certifié. Elle vous fournit également des informations sur les autres possibilités de recours.
Financé par l'Union européenne. Les points de vue et les opinions exprimés n'engagent toutefois que leur(s) auteur(s) et ne reflètent pas nécessairement ceux de l'Union européenne ou du Conseil européen de l'innovation et de l'Agence exécutive pour les petites et moyennes entreprises (EISMEA). Ni l'Union européenne ni l'autorité subventionnaire ne peuvent en être tenues pour responsables.