LE PAIEMENT EN LIGNE :
Transcription
LE PAIEMENT EN LIGNE :
Les Mardis de l’ADIJ Maison du barreau le 4 juillet 2006 LE PAIEMENT EN LIGNE : L’état du droit face à la technique Cathie-Rosalie JOLY Docteur en droit – avocat Directrice du site d’information juridique NJuris.com Auteur de l’ouvrage « Paiement en ligne: aspects juridiques et techniques » paru aux éditions Hermes Sciences Lavoisier [email protected] Plan L’offre technique disponible Procédés de paiement en ligne Procédés de sécurisation du paiement en ligne Le droit applicable aux différents acteurs Protection du porteur Obligations incombant au cyber-marchand Statut des fournisseurs de moyens de paiement L’OFFRE TECHNIQUE DISPONIBLE 9 Divers procédés de paiement en ligne • • • Moyens de paiement matériels Moyens de paiement logiciels Recours à des intermédiaires 9 Divers procédés de sécurisation du paiement • • • Sécurisation de la transmission des données Sécurisation de la transaction Conservation des justificatifs de la transaction Les divers procédés de paiement Les moyens de paiement matériels Lecteurs de cartes à puce (TPE) Calculatrices générant un numéro à usage unique Sep-Wallet Token Cartes prépayées Associé à un ordinateur Téléphone portable bi-fente Télévision à péage Minitel Carte prépayée à gratter Carte prépayée sur CD-Rom Carte à puce sonore Porte monnaie électronique matériel Les divers procédés de paiement (suite) Les moyens de paiement logiciels Porte monnaie électronique virtuel Chèque électronique Numéro à 16 chiffres de la carte bancaire Utilisation du numéro apparent CVD Courriel Banque à domicile Système Kiosque Recours à des intermédiaires agrégateurs (w-HA) Divers procédés de sécurisation du paiement Sécurisation de la transmission des données (Confidentialité) Sécurisation de la transaction (Authentification & Intégrité) Transfert des données bancaires (SSL/SET) Transfert des données couplé à un TPE (SET) 3D-Secure de VISA = Liability Shift Signature électronique Biométrie Conservation de la preuve de la transaction (Pérennité) Mise en œuvre du système 3D-Secure Client Commerçant 1 Plug-in 5 4 6 2 7 Serveur de contrôle d’accès Annuaire 3 Banque client Opérations réalisées dans le cadre du système 3D Secure Retour au système d’autorisation CB classique 8 Banque marchand Signature électronique Loi 13 mars 2000 : Reconnaissance juridique Présomption de fiabilité du procédé de signature L’article 2 du décret du 30 mars 2001 : « la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié » Dispositif sécurisé de création de signature Doit garantir que la confidentialité des données de création est assurée et qu’elles ne peuvent pas être établies plus d’une fois ni être trouvées par déduction, que le signataire peut les protéger contre toute utilisation par des tiers Ne doit entraîner aucune altération du contenu de l'acte à signer ni faire obstacle à ce que le signataire en ait une connaissance exacte de l’acte avant de le signer. Certification de la signature électronique Décret n° 2001-272 du 30 mars 2001 définit le certificat électronique comme « un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire ». Identification biométrique Fonctionnement Autorisation préalable de la CNIL art 25-1-8° de la loi « informatique et libertés » modifiée en 2004 Position de la CNIL fondée sur : Le type de données Le mode de stockage et de sécurisation des gabarits Les besoins de sécurité Conservation de la preuve de la transaction Appliquer les exigences de la preuve électronique à l’archivage Garantir l’identification des parties et l’intégrité de l’autorisation Garantir la lisibilité et l’intelligibilité Mise en place d’un chemin de preuve assurant la traçabilité des différentes interventions Mise en œuvre de l’archivage Archivage interne Archivage externe LE DROIT APPLICABLE AUX ACTEURS DU PAIEMENT EN LIGNE 9 Protection du porteur • France / Europe 9 Obligations incombant au cyber-marchand • • En vertu du contrat fournisseur En application du droit des données personnelles 9 Statut des fournisseurs de moyens de paiement électroniques • France / Europe Protection du Porteur France : Protection du porteur de carte bancaire Le régime est fonction du fait qu’il y a (ou pas) utilisation physique Avec utilisation physique de la carte (art. L 132-3 cmf) Principe : Plafond de 150 € avant opposition Après opposition absence de responsabilité Exceptions : Faute lourde et Opposition tardive Forme de l’opposition : téléphone, fax, minitel… Protection du Porteur en France (suite) Sans utilisation physique de la carte (art. L 132-2 cmf) Données liées à l’utilisation de la CB / carte contrefaite Droit au remboursement de l’opération et des frais engagés Forme de la contestation : Par écrit dans un délai de 70 à 120 jours à compter de l’opération contestée Protection du Porteur (suite) Europe : Protection du porteur d’instruments de paiement électronique Recommandation 97/489 Vol ou perte de l’instrument de paiement 150 € avant opposition / complet remboursement après Exception : négligence extrêmement frauduleuse Absence de responsabilité du porteur Pas de présentation physique de l’instrument de paiement Pas d’identification électronique Critique du régime Français Réduit le périmètre de protection Obligations incombant au cyber-marchand Du fait du Contrat fournisseur VAD Lors du paiement par carte bancaire Vérifier les informations fournies par le client Vérifier la commande auprès du client Au delà du seuil fixé dans le contrat, demander l’autorisation de sa banque Assurer le confidentialité des données liées au paiement Demander la signature du client au delà de 800 € Obligations incombant au cyber-marchand (suite) Après le paiement Conserver et transmettre à sa banque les justificatifs de l’opération de paiement Demander la présentation de la CB du client lors de la livraison Autoriser expressément la Banque à le débiter de toute opération contestée Obligations incombant au cyber-marchand (suite) Du fait de la protection des données personnelles Déclaration des opérations portant sur les données CB Conservation des données CB dans le respect des finalités Conservation des données aux fins de paiement « Le délai légal pendant lequel le titulaire d’une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date de l’opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours à compter de l’opération contestée ». Utilisation des données comme identifiant commercial Recommandations de la CNIL Sanctions : art. 226-20 cp Obligations incombant au cyber-marchand (suite) Obligation de sécurité des données CB Obligation de moyens Crypter les données Utiliser des « firewall » Installer des antivirus Utiliser des mots de passe Contrôler l’accès aux locaux de l’entreprise Sensibiliser le personnel… Délégation de la mission de sécurisation des données Obligations incombant au cyber-marchand (suite) Sanction du manquement à l’obligation de sécurité 5 ans d’emprisonnement et 300 000 € (art 226-17 cp) Principe de proportionnalité Risques de mises en cause élevés en théorie Peu de poursuites faute d’information Remarque : Obligation de sécurité et délit relatif à un STAD Statut des fournisseurs de moyens de paiement Émission de moyens de paiement en France Établissements émetteurs Établissement de crédit (art. L 511-1 cmf) « les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque au sens de l'article L. 311-1. Les opérations de banque comprennent la réception de fonds du public, les opérations de crédit, ainsi que la mise à la disposition de la clientèle ou la gestion de moyens de paiement . Sont considérés comme moyens de paiement tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé » Statut des fournisseurs de moyens de paiement (suite) Établissement de monnaie électronique L’établissement de monnaie électronique est un établissement limitant son activité à l’émission, la mise à disposition du public ou la gestion de monnaie électronique. La monnaie électronique est composée d’unités de valeur, dites unités de monnaie électronique. Chacune constitue un titre de créance incorporé dans un instrument électronique et accepté comme moyen de paiement par des tiers autres que l’émetteur. La monnaie électronique étant émise contre la remise de fonds pour une valeur ne pouvant excéder celle des fonds reçus en contrepartie . Statut des fournisseurs de moyens de paiement (suite) Le passeport européen : l’agrément Deuxième directive bancaire du 15 décembre 1989 : Ouverture du marché unique des services bancaires par la mise en place d’un agrément unique : « Passeport européen » Agrément délivré par le Comité des Établissements de crédit et des entreprises d’investissements Établissement de crédit Établissement de monnaie électronique Statut des fournisseurs de moyens de paiement (suite) CECEI peut exempter d’agrément (L 111-7 cmf) « une entreprise exerçant toute activité de mise à disposition ou de gestion de moyens de paiement lorsque ceux-ci ne sont acceptés que : - par des sociétés qui sont liées à cette entreprise - ou par un nombre limité d'entreprises qui se distinguent clairement par le fait qu'elles se trouvent dans les mêmes locaux ou dans une zone géographique restreinte ou par leur étroite relation financière ou commerciale avec l'établissement émetteur, notamment sous la forme d'un dispositif de commercialisation ou de distribution commun. » Statut des fournisseurs de moyens de paiement (suite) Émission de moyens de paiement en Europe Établissements émetteurs Établissement de crédit L’article 1er alinéa 1 de la directive 2000/12/CE du 20 mars 2000 définit l’établissement de crédit comme étant « une entreprise dont l’activité consiste à recevoir du public des dépôts ou d’autres fonds remboursables et à octroyer des crédits pour son propre compte » Statut des fournisseurs de moyens de paiement (suite) Établissement de monnaie électronique L’article 1er point 3 (a) de la directive 2000/46/CE définit l’établissement de monnaie électronique comme étant une entreprise ou toute autre personne morale, autre qu’un établissement de crédit, qui émet des moyens de paiement sous la forme de monnaie électronique. Établissement financier Article 1er alinéa 5 de la directive 2000/12/CE, « établissement financier : une entreprise, autre qu’un établissement de crédit, dont l’activité principale consiste à prendre des participations ou à exercer une ou plusieurs activités visées aux points 2 à 12 de la liste figurant à l’annexe 1. (…) 4) opérations de paiement ; 5)émission et gestion de moyens de paiement ». Statut des fournisseurs de moyens de paiement (suite) Critique du régime français L’offre de services de paiement non électronique entraîne la qualification d’établissement de crédit Limite la libre prestation des services de paiement dans le marché intérieur Statut des fournisseurs de moyens de paiement (suite) Proposition de Directive « services de paiement dans le marché intérieur » : mise en place d’un cadre harmonisé Créer une 4e catégorie de prestataires de services de paiement «les établissements de paiement» Les conditions d’octroi et de maintien de l’agrément en tant qu’établissement de paiement devraient inclure des exigences prudentielles proportionnées aux risques opérationnels et financiers Les fonds des clients devraient être séparés des fonds employés par les établissements de paiement aux fins d’autres activités commerciales. Les établissements de paiement devraient être soumis à des exigences appropriées en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme. Statut des fournisseurs de moyens de paiement (suite) Responsabilité de l’utilisateur Avant notification : les opérations restent à sa charge mais de manière plafonnée (150 €) Après notification du vol ou de la perte : déchargé de sa responsabilité Si son instrument de vérification des paiements n’a pas été perdu ni volé, l’utilisateur ne devrait supporter aucune conséquence financière d’une utilisation non autorisée. Délai d’exécution des paiements : J+1 pour les virements sans conversion de devises, et par défaut pour tout autre paiement en l’absence de stipulation contractuelle. Statut des fournisseurs de moyens de paiement (suite) Mise en place d’un régime transitoire (article 80) « les États membres autorisent les personnes, y compris les établissements financiers au sens de la directive 2000/12/CE, qui ont commencé à exercer l’activité d’établissement de paiement telle que prévue dans la présente directive, conformément à la législation nationale en vigueur avant le [ date d’entrée en vigueur de la directive ], à poursuivre cette activité dans l’État membre concerné pendant 18 mois au maximum après la date indiquée à l’article 85, paragraphe 1, premier alinéa. » LE PAIEMENT EN LIGNE : L’état du droit face à la technique -Merci pour votre attention Cathie-Rosalie JOLY Docteur en droit - avocat Directrice du site d’information juridique NJuris.com Auteur de l’ouvrage « Paiement en ligne: aspects juridiques et techniques » paru aux éditions Hermes Sciences Lavoisier [email protected]