LE PAIEMENT EN LIGNE :

Transcription

Les Mardis de l’ADIJ
Maison du barreau le 4 juillet 2006
L’état du droit face à la technique
Cathie-Rosalie JOLY
Docteur en droit – avocat
Directrice du site d’information juridique NJuris.com
Auteur de l’ouvrage « Paiement en ligne: aspects juridiques et
techniques » paru aux éditions Hermes Sciences Lavoisier
[email protected]
Plan

L’offre technique disponible

Procédés de paiement en ligne
Procédés de sécurisation du paiement en ligne
Le droit applicable aux différents acteurs

Protection du porteur
Obligations incombant au cyber-marchand
Statut des fournisseurs de moyens de paiement
L’OFFRE TECHNIQUE DISPONIBLE
9 Divers procédés de paiement en ligne
•
•
•
Moyens de paiement matériels
Moyens de paiement logiciels
Recours à des intermédiaires
9 Divers procédés de sécurisation du paiement
•
•
•
Sécurisation de la transmission des données
Sécurisation de la transaction
Conservation des justificatifs de la transaction
Les divers procédés de paiement

Les moyens de paiement matériels

Lecteurs de cartes à puce (TPE)

Calculatrices générant un numéro à usage unique

Sep-Wallet
Token
Cartes prépayées

Associé à un ordinateur
Téléphone portable bi-fente
Télévision à péage
Minitel
Carte prépayée à gratter
Carte prépayée sur CD-Rom
Carte à puce sonore
Porte monnaie électronique matériel
Les divers procédés de paiement (suite)

Les moyens de paiement logiciels

Porte monnaie électronique virtuel
Chèque électronique
Numéro à 16 chiffres de la carte bancaire

Utilisation du numéro apparent
CVD
Courriel
Banque à domicile
Système Kiosque
Recours à des intermédiaires agrégateurs (w-HA)
Divers procédés de sécurisation du paiement

Sécurisation de la transmission des données
(Confidentialité)

Sécurisation de la transaction (Authentification & Intégrité)

Transfert des données bancaires (SSL/SET)
Transfert des données couplé à un TPE (SET)
3D-Secure de VISA = Liability Shift
Signature électronique
Biométrie
Conservation de la preuve de la transaction (Pérennité)
Mise en œuvre du système 3D-Secure
Client
Commerçant
1
Plug-in
5
4
6
2
7
Serveur de
contrôle
d’accès
Annuaire
3
Banque
client
Opérations réalisées dans le cadre du système 3D Secure
Retour au système d’autorisation CB classique
8
Banque
marchand
Signature électronique

Loi 13 mars 2000 : Reconnaissance juridique

Présomption de fiabilité du procédé de signature
L’article 2 du décret du 30 mars 2001 : « la fiabilité d'un procédé de signature électronique est
présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique
sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la
vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié »

Dispositif sécurisé de création de signature

Doit garantir que la confidentialité des données de création est assurée et qu’elles ne
peuvent pas être établies plus d’une fois ni être trouvées par déduction, que le signataire
peut les protéger contre toute utilisation par des tiers

Ne doit entraîner aucune altération du contenu de l'acte à signer ni faire obstacle à ce que
le signataire en ait une connaissance exacte de l’acte avant de le signer.
Certification de la signature électronique
Décret n° 2001-272 du 30 mars 2001 définit le certificat électronique comme « un document sous
forme électronique attestant du lien entre les données de vérification de signature électronique et
un signataire ».
Identification biométrique

Fonctionnement

Autorisation préalable de la CNIL art 25-1-8° de la loi
« informatique et libertés » modifiée en 2004

Position de la CNIL fondée sur :

Le type de données
Le mode de stockage et de sécurisation des gabarits
Les besoins de sécurité
Conservation de la preuve de la transaction

Appliquer les exigences de la preuve électronique à
l’archivage

Garantir l’identification des parties et l’intégrité de
l’autorisation
Garantir la lisibilité et l’intelligibilité
Mise en place d’un chemin de preuve assurant la traçabilité
des différentes interventions

Mise en œuvre de l’archivage

Archivage interne
Archivage externe
LE DROIT APPLICABLE AUX ACTEURS
DU PAIEMENT EN LIGNE
9 Protection du porteur
•
France / Europe
9 Obligations incombant au cyber-marchand
•
•
En vertu du contrat fournisseur
En application du droit des données personnelles
9 Statut des fournisseurs de moyens de
paiement électroniques
•
France / Europe
Protection du Porteur

France : Protection du porteur de carte bancaire
Le régime est fonction du fait qu’il y a (ou pas) utilisation physique

Avec utilisation physique de la carte (art. L 132-3 cmf)

Principe :
Plafond de 150 € avant opposition
Après opposition absence de responsabilité

Exceptions : Faute lourde et Opposition tardive

Forme de l’opposition : téléphone, fax, minitel…
Protection du Porteur en France (suite)

Sans utilisation physique de la carte (art. L 132-2 cmf)

Données liées à l’utilisation de la CB / carte contrefaite

Droit au remboursement de l’opération et des frais engagés

Forme de la contestation : Par écrit dans un délai de 70 à
120 jours à compter de l’opération contestée
Protection du Porteur (suite)

Europe : Protection du porteur d’instruments de
paiement électronique

Recommandation 97/489

Vol ou perte de l’instrument de paiement
150 € avant opposition / complet remboursement après
Exception : négligence extrêmement frauduleuse
Absence de responsabilité du porteur
Pas de présentation physique de l’instrument de paiement
Pas d’identification électronique
Critique du régime Français
Réduit le périmètre de protection
Obligations incombant au cyber-marchand

Du fait du Contrat fournisseur VAD

Lors du paiement par carte bancaire

Vérifier les informations fournies par le client

Vérifier la commande auprès du client

Au delà du seuil fixé dans le contrat, demander
l’autorisation de sa banque

Assurer le confidentialité des données liées au paiement

Demander la signature du client au delà de 800 €
Obligations incombant au cyber-marchand (suite)

Après le paiement

Conserver et transmettre à sa banque les justificatifs de
l’opération de paiement

Demander la présentation de la CB du client lors de la
livraison

Autoriser expressément la Banque à le débiter de toute
opération contestée

Du fait de la protection des données personnelles

Déclaration des opérations portant sur les données CB

Conservation des données CB dans le respect des
finalités

Conservation des données aux fins de paiement
« Le délai légal pendant lequel le titulaire d’une carte de paiement ou de retrait a la
possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date
de l’opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser
cent vingt jours à compter de l’opération contestée ».

Utilisation des données comme identifiant commercial

Recommandations de la CNIL

Sanctions : art. 226-20 cp

Obligation de sécurité des données CB

Obligation de moyens
Crypter les données
Utiliser des « firewall »
Installer des antivirus
Utiliser des mots de passe
Contrôler l’accès aux locaux de l’entreprise
Sensibiliser le personnel…

Délégation de la mission de sécurisation des données

Sanction du manquement à l’obligation de sécurité

5 ans d’emprisonnement et 300 000 € (art 226-17 cp)

Principe de proportionnalité

Risques de mises en cause élevés en théorie

Peu de poursuites faute d’information

Remarque : Obligation de sécurité et délit relatif à un STAD
Statut des fournisseurs de moyens de paiement

Émission de moyens de paiement en France

Établissements émetteurs

Établissement de crédit (art. L 511-1 cmf)
« les établissements de crédit sont des personnes morales qui effectuent à titre
de profession habituelle des opérations de banque au sens de l'article L. 311-1.
Les opérations de banque comprennent la réception de fonds du public, les
opérations de crédit, ainsi que la mise à la disposition de la clientèle ou la
gestion de moyens de paiement .
Sont considérés comme moyens de paiement tous les instruments qui
permettent à toute personne de transférer des fonds, quel que soit le support
ou le procédé technique utilisé »
Statut des fournisseurs de moyens de paiement (suite)

Établissement de monnaie électronique
L’établissement de monnaie électronique est un établissement limitant son
activité à l’émission, la mise à disposition du public ou la gestion de monnaie
électronique.
La monnaie électronique est composée d’unités de valeur, dites unités de
monnaie électronique. Chacune constitue un titre de créance incorporé dans
un instrument électronique et accepté comme moyen de paiement par des
tiers autres que l’émetteur. La monnaie électronique étant émise contre la
remise de fonds pour une valeur ne pouvant excéder celle des fonds reçus en
contrepartie .

Le passeport européen : l’agrément

Deuxième directive bancaire du 15 décembre 1989 :
Ouverture du marché unique des services bancaires par la mise en place d’un
agrément unique : « Passeport européen »

Agrément délivré par le Comité des Établissements de
crédit et des entreprises d’investissements
Établissement de crédit

CECEI peut exempter d’agrément (L 111-7 cmf)
« une entreprise exerçant toute activité de mise à disposition ou de
gestion de moyens de paiement lorsque ceux-ci ne sont acceptés que :
- par des sociétés qui sont liées à cette entreprise
- ou par un nombre limité d'entreprises qui se distinguent clairement par
le fait qu'elles se trouvent dans les mêmes locaux ou dans une zone
géographique restreinte ou par leur étroite relation financière ou
commerciale avec l'établissement émetteur, notamment sous la forme
d'un dispositif de commercialisation ou de distribution commun. »

Émission de moyens de paiement en Europe

Établissements émetteurs

Établissement de crédit
L’article 1er alinéa 1 de la directive 2000/12/CE du 20 mars 2000 définit
l’établissement de crédit comme étant « une entreprise dont l’activité consiste à
recevoir du public des dépôts ou d’autres fonds remboursables et à octroyer
des crédits pour son propre compte »

L’article 1er point 3 (a) de la directive 2000/46/CE définit l’établissement de
monnaie électronique comme étant une entreprise ou toute autre personne
morale, autre qu’un établissement de crédit, qui émet des moyens de paiement
sous la forme de monnaie électronique.

Établissement financier
Article 1er alinéa 5 de la directive 2000/12/CE,
« établissement financier : une entreprise, autre qu’un établissement de crédit,
dont l’activité principale consiste à prendre des participations ou à exercer une
ou plusieurs activités visées aux points 2 à 12 de la liste figurant à l’annexe 1.
(…) 4) opérations de paiement ;
5)émission et gestion de moyens de paiement ».

Critique du régime français

L’offre de services de paiement non électronique entraîne la
qualification d’établissement de crédit

Limite la libre prestation des services de paiement dans le
marché intérieur

Proposition de Directive « services de paiement dans le
marché intérieur » : mise en place d’un cadre harmonisé

Créer une 4e catégorie de prestataires de services de
paiement «les établissements de paiement»

Les conditions d’octroi et de maintien de l’agrément en tant
qu’établissement de paiement devraient inclure des exigences
prudentielles proportionnées aux risques opérationnels et
financiers

Les fonds des clients devraient être séparés des fonds employés
par les établissements de paiement aux fins d’autres activités
commerciales.

Les établissements de paiement devraient être soumis à des
exigences appropriées en matière de lutte contre le blanchiment de
capitaux et le financement du terrorisme.

Responsabilité de l’utilisateur

Avant notification : les opérations restent à sa charge mais de
manière plafonnée (150 €)

Après notification du vol ou de la perte : déchargé de sa
responsabilité

Si son instrument de vérification des paiements n’a pas été perdu
ni volé, l’utilisateur ne devrait supporter aucune conséquence
financière d’une utilisation non autorisée.
Délai d’exécution des paiements : J+1 pour les virements sans
conversion de devises, et par défaut pour tout autre paiement en
l’absence de stipulation contractuelle.

Mise en place d’un régime transitoire (article 80)
« les États membres autorisent les personnes, y compris les établissements
financiers au sens de la directive 2000/12/CE, qui ont commencé à exercer
l’activité d’établissement de paiement telle que prévue dans la présente
directive, conformément à la législation nationale en vigueur avant le [ date
d’entrée en vigueur de la directive ], à poursuivre cette activité dans l’État
membre concerné pendant 18 mois au maximum après la date indiquée à
l’article 85, paragraphe 1, premier alinéa. »
L’état du droit face à la technique
-Merci pour votre attention Cathie-Rosalie JOLY
Docteur en droit - avocat
Directrice du site d’information juridique NJuris.com
Auteur de l’ouvrage « Paiement en ligne: aspects juridiques et
techniques » paru aux éditions Hermes Sciences Lavoisier
[email protected]