Le contexte. 1) Sécurité des paiements et protection du consommateur



Documents pareils
TOUT SAVOIR SUR LA CARTE BANCAIRE

Les acteurs de la carte d'achat

9 RÉFLEXES SÉCURITÉ

Technologies informatiques appliquées au commerce électronique

Faites confiance à la première solution française de paiement sur Internet.

Ces conditions de vente prévaudront sur toutes autres conditions générales ou particulières non expressément agréées par SUD LOGICIEL GESTION.

Particuliers, la Banque de France vous informe

Particuliers, la Banque de France vous informe

OBJET : Mise en œuvre du décret n du 26 octobre 2004 relatif à l'exécution des marchés publics par carte d'achat.

Paiements mobiles NFC au Canada

CARTE BANCAIRE RECHARGEABLE

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Une approche à multiples niveaux en matière de sécurité des cartes de paiement

Colloque Prévention et gestion de la fraude aux cartes bancaires 17 janvier Discours d ouverture par M. Noyer, Gouverneur de la Banque de France

pour vos ventes à distance

De plus en plus de gens font leurs achats sur Internet, et l offre de produits et services en ligne est grandissante. Les moyens de paiement se

Bien utiliser la carte bancaire

Bien utiliser la carte bancaire

Proposer le paiement par carte a mes clients

2.1 Les présentes conditions générales régissent les conditions de vente et d utilisation de Ticket Premium.

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Bien utiliser la carte bancaire

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement

» Conditions Particulières

Sécuriser le e-commerce avec la technologie XCA. «Une sécurité qui inspire la confiance»

GUIDE DE L'UTILISATEUR AVERTI

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Le paiement sur Internet

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

CONDITIONS GENERALES DE VENTE INTERNET

Europe P aiements en

ANNEXE À LA DELIBERATION N 2013-INSO-008. Règlement intérieur du dispositif départemental Carte jeune. Sommaire

Club des Responsables d Infrastructures et de la Production

CONTRAT DE COMMISSION

Guide du promoteur de projets de Commerce électronique

Dossier spécial. Acheter sur Internet. Point Cyber Solidarité

La payement par Carte Bancaire sur Internet

Groupe Eyrolles, 2015 ISBN :

CONDITIONS GENERALES DE VENTE

MSSanté, la garantie d échanger en toute confiance. Mieux comprendre. MSSanté FAQ. Juin 2013 / V1

CONDITIONS GENERALES DE VENTES

le Fichier central des chèques (FCC) et le Fichier national des chèques irréguliers (FNCI),

Le e-commerce en France

Petites entreprises, votre compte au quotidien

PROTOCOLE D ACCORD PREAMBULE

CONDITIONS GENERALES DE VENTE DU SITE PROTIFAST.COM

CONDITIONS GENERALES DE VENTE ET D UTILISATION

ADHESION AU SYSTEME DE PAIEMENT PAR CARTES BANCAIRES CB CONDITIONS GENERALES D'ADHESION AU SYSTEME DE PAIEMENT A DISTANCE PAR CARTES BANCAIRES CB

CONTRAT PORTEUR CARTES BANCAIRES

Règlement Spécifique DB Titanium Card

CONDITIONS GENERALES VENTE

CARTES BANCAIRES ASSURANCES - ASSISTANCE

1.2 - Les dispositions des présentes conditions générales de vente prévalent sur toutes autres.

L interchange. Ce que c est. Comment ça fonctionne. Et pourquoi c est fondamental pour le système des paiements Visa.

SafeNet La protection

Faire ses achats en ligne en toute sécurité. Avril 2013

Management et Productivité des TIC

L ENCAISSEMENT DES RECETTES PUBLIQUES PAR CARTE BANCAIRE

ACHATS EN LIGNE 10 RÉFLEXES SÉCURITÉ. Le site pratique pour les PME. N 2 LES GUIDES SÉCURITÉ BANCAIRE

CONDITIONS GENERALES DE VENTE ET D UTILISATION DE SNCF TER NFC

GLOSSAIRE des opérations bancaires courantes

Nouveau Programme Formation Monétique

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Conditions Générales de Vente

guide pratique d utilisation d un terminal de paiement électronique EMV, à destination des commerçants CB

Achats en ligne - 10 re flexes se curite

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

CONDITIONS GENERALES DE VENTE EN LIGNE

La révolution des paiements par cartes bancaires. Présenté par. Gilles Sartre et Thierry Saxod

Conditions générales de vente e-commerce.

Traitement des cartes retenues ou oubliées et de l argent non retiré ou oublié au Bancomat

CONDITIONS GENERALES DE VENTE

CONDITIONS GENERALES DE FONCTIONNEMENT

1- ACCES AU SERVICE UIBNET

CONDITIONS GENERALES DE VENTE EN LIGNE

CARACTÉRISTIQUES DES PRODUITS ET DES PRESTATIONS VENDUS

Achetez en toute sécurité sur Internet sans communiquer votre numéro de carte bancaire!

INTRODUCTION. Intégration d un système de paiement en ligne dans votre site internet

Vous trouvez un relevé de tous les produits participants sur le site web ou

I. Les évolutions de la carte bancaire liées au cadre défini par le Conseil européen des paiements et à la réglementation de la Commission européenne

Conditions générales de vente

Lutte contre les spams par SMS et vocaux. et les prospections téléphoniques non-désirées

«Paiement en ligne» : Que choisir pour vendre en ligne mon hébergement, activité?!

Pour la première fois, la carte SIM d un téléphone devient aussi une carte bancaire sécurisée

Conditions Générales de Vente applicable aux ventes réalisées sur notre site

Le paiement en ligne : l'état du droit face à la technique

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

ORGANISATION ET SURVEILLANCE DES SYSTÈMES DE PAIEMENT

Service de Banque à Distance- Mascareignes Direct. Conditions générales. Banque des Mascareignes

D E M A N D E D E C A R T E P R E P A Y E E R E C H A R G E A B L E

ACCÉDER. aux services. Brochure d information sur les services, les offres du Groupe La Poste et leurs accès aux gens du voyage

Directeur de la publication : André-Michel ventre, Directeur de l INHESJ Rédacteur en chef : Christophe Soullez, chef du département de l ONDRP

CONTRAT PORTEUR DISPOSITIF DE SÉCURITÉ PERSONNALISÉ OU CODE CONFIDENTIEL... 3 FORME DU CONSENTEMENT ET IRRÉVOCABILITÉ... 4

SGMAROC-ONLINE Particuliers Conditions générales de fonctionnement

Paiements, les paiements échelonnés, le calcul des intérêts et la facturation mensuelle

Conditions Générales d Utilisation des cartes cadeaux CA DO CARTE au 12/09/2013 (Applicables aux Cartes d un montant inférieur ou égal à 150 )

Une technologie de rupture

CONDITIONS GENERALES DE VENTE DE PRODUITS SUR INTERNET

Transcription:

Le contexte 1) Sécurité des paiements et protection du consommateur La sécurité du système Cartes Bancaires a fait l objet en 2000 et en 2001 d une concertation au sein d un groupe de travail du Conseil National de la Consommation et d un groupe technique restreint dirigé par la Mission Commerce Électronique et la DiGITIP, ainsi que d un groupe de travail administratif sur les aspects juridiques conduit par la DT. Ces travaux ont donné lieu à une série de recommandations et d engagements de la part des banques visant à accroître la sécurité des cartes de paiement et les droits des consommateurs. Les dispositions introduites dans la loi n 2001-1062 du 15 Novembre 2001 sur la sécurité quotidienne 1 ont concrétisé ces recommandations. 1a. Les chiffres de la fraude La vente à distance, principal secteur concerné par la recrudescence de la fraude par cartes bancaires durant l année 2000, a donné lieu à des comportements délictueux affectant ses différentes composantes (notamment vente par correspondance, téléphonie mobile et commerce électronique). Cette fraude résulte essentiellement du vol de numéros de cartes (facturettes, commerçants) ou de la génération frauduleuse de numéros via des logiciels de "carding", et non de l'attaque des protocoles utilisés pour le paiement en ligne, comme SSL, beaucoup plus difficiles à réaliser. Par ailleurs, il apparaît que la fraude sur la vente à distance recensée en 2000 porte principalement sur les opérations de rechargement des cartes prépayées de téléphonie mobile et que, suite à des mesures prises par les opérateurs de télécommunication, cette fraude semble avoir été considérablement réduite en 2001 2. S agissant de la fraude recensée par les banques, elle oscille pour l ensemble de la vente à distance entre 0,04 et 0,15% du chiffre d affaires. Ces chiffres sont supérieurs au taux de fraude constaté pour les transactions de proximité, de l ordre de 0,026%, mais demeurent supportables selon le GIE Cartes Bancaires. De manière plus détaillée, le taux de fraude relatif au commerce électronique est compris entre 0,05 et 0,35%, alors que le ratio de fraude pour les rechargements de cartes prépayées oscille entre 0,2 et 2%, après avoir culminé au-delà de 10% au début de l année 2000. 1b. La loi sur la sécurité quotidienne et les initiatives internationales Les principales dispositions de la loi sur la sécurité quotidienne en matière de protection des porteurs de cartes bancaires sont les suivantes : - l'élargissement des possibilités de faire opposition : non plus simplement en cas de perte ou vol de la carte, mais aussi lorsqu il y a utilisation frauduleuse du numéro de carte (en vente à distance par exemple) ; - l instauration d une franchise laissée à la charge du porteur lorsque la fraude a lieu avant la déclaration de perte ou de vol ou d utilisation frauduleuse : 400 euros jusqu'au 31 décembre 2001, 275 euros aujourd'hui et 150 euros à compter du 1er janvier 2003 ; - dégagement de la responsabilité du porteur d une carte victime d une fraude liée à une contrefaçon de sa carte ou à une transaction à distance sans utilisation physique de la carte (remboursement dans un délai maximum d'un mois après la réception de la plainte) 3. 1 Cf. Extrait de la LSQ en pièce jointe 2 Cf. Fiche chiffres sur la fraude en pièce jointe 3 Dispositif de type rétro-facturation ou "charge-back" mais limité aux achats en vente à distance.

La Commission européenne est quant à elle favorable à la mise en œuvre de systèmes de rétrofacturation ou "charge back", ainsi que l'ocde qui a produit en 2001 un rapport sur la protection des porteurs de cartes de paiement. La loi renforce également les moyens de lutte contre les contrevenants informatiques en instaurant des sanctions pénales renforcées pour l'utilisation à des fins délictueuses de moyens informatiques permettant de contrefaire un moyen de paiement. Au niveau européen, la Commission européenne a lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières et judiciaires. Enfin, la Banque de France se voit confié par cette loi la surveillance de la sécurité des moyens de paiement non fiduciaires et, pour ce faire, un Observatoire de la sécurité des cartes de paiement, chargé du suivi des statistiques de la fraude et des moyens engagés par les Banques pour accroître la sécurité des cartes de paiements, a été mis en place. Suite à la pression des pouvoirs publics, une série de mesures techniques tendant à prévenir le risque de fraude ont d'ores et déjà été prises : suppression des numéros de cartes sur les facturettes, modernisation des distributeurs automatiques de billet et des cartes, incitation des sites marchands à ne pas conserver des bases de données de numéros de cartes eu égard aux risques de cybercriminalité, et à supprimer la circulation des numéros de carte sur Internet. 1c. Vers un cadre de confiance pour le commerce électronique Le problème de la sécurité des paiements en ligne doit être posé dans un contexte plus large. La problématique de fond du commerce en ligne est celle du développement de la confiance des consommateurs, qui exige pour les acteurs économiques, au-delà du problème de la sécurisation du paiement, une réflexion sur une meilleure lisibilité de l identité et de la notoriété des sites marchands par les consommateurs, leur engagement à suivre des règlements et des règles déontologiques, l apport d une valeur ajoutée par rapport à la vente de proximité, l offre de services de qualité (livraison rapide et non coûteuse) et la mise en œuvre d un mode de résolution des litiges efficace, rapide et équitable. La Commission européenne a bien pris en compte l'importance de ces aspects au travers de la directive européenne n 2000/31/CE sur le commerce électronique du 8 juin 2000, qui fixe le cadre général du droit applicable aux transactions électroniques et à la dématérialisation des contrats électroniques. Sa transposition en droit français a fait l'objet d'un vaste chantier législatif en cours de finalisation en France, dans le cadre de l'avant projet de loi sur l'économie numérique. L identification des parties et la transparence des informations échangées sur l Internet sont privilégiés comme une condition de la confiance et du développement des échanges électroniques, ainsi que la reconnaissance juridique de la signature électronique, déjà actée par la loi n 2000-230 du 13 mars 2000, et celle du contrat électronique. 2) Sécurité des systèmes de paiements en ligne Si les mesures prises par les pouvoirs publics en matière de protection du consommateur et de lutte contre la cybercriminalité sont indispensables, elles ne garantissent pas les paiements aux commerçants. Il paraît donc nécessaire d'inciter les commerçants, les banques et les industriels à proposer des systèmes sécurisés garantissant les paiements 4. 4 Il faut noter pour la France que la loi sur la sécurité quotidienne exclue le remboursement intégral de la fraude lorsque le paiement est effectué avec un dispositif de paiement sécurisé.

2a. Les différents modèles de paiement à distance On peut distinguer deux modèles de paiement à distance. : - Le modèle assurantiel tend à promouvoir, en l absence de solution technique fiable, des assurances couvrant le risque de fraude. Le «charge back» constitue la solution la plus aboutie de ce système en posant le principe de la recréditation automatique en cas d opération contestée. Cependant, ce modèle ne permet pas aux commerçants de se prémunir contre les achats frauduleux : les commerçants doivent alors mettre en œuvre individuellement des outils de gestions des risques et des litiges et des techniques de "profiling" de leurs clients, ou alors souscrire eux-mêmes à des assurances souvent coûteuses. - Le modèle technique consiste à développer les solutions matérielles ou logicielles propres à sécuriser les transactions. C est la voie privilégiée en France par les acteurs bancaires et industriels. 2b. La solution SSL Actuellement, les opérateurs de vente par correspondance et de téléphonie mobile, lorsque le consommateur choisit de régler sa transaction par carte bancaire, se font communiquer le numéro et la date de validité de la carte du consommateur. La transaction ne donne donc pas lieu, comme dans un achat de proximité, à la tabulation du code confidentiel et à l utilisation de la puce. Lors d un achat en ligne, le consommateur doit également communiquer le numéro et la date de validité de sa carte mais ces données font l objet d un envoi crypté. Les sites ont recours dans la quasitotalité des cas au protocole dit SSL (Secure Sockets Layer) qui permet de chiffrer le message transmis (dont le numéro de carte de paiement). Ce protocole se révèle simple et peu coûteux et peut être, de plus, perfectionné lorsqu il est mis en œuvre par des établissements de crédit qui par leur rôle d intermédiation permettent de ne transmettre au commerçant que les informations relatives à la commande (le numéro de carte n étant dès lors connu que par le serveur de télé-paiement). Néanmoins, ce dispositif ne garantit pas l authentification de l acheteur et du commerçant, ni l intégrité des données transmises au commerçant et les banques refusent d assurer la garantie des paiements, contrairement aux transactions de proximité qui bénéficient d une telle garantie. 2c. Les nouvelles solutions de paiement Compte tenu de l'absence de garantie dans la mise en œuvre de la solution SSL, la sécurisation des paiements en ligne fait l objet de nombreuses expérimentations, qui se déploient principalement dans deux directions : - La recherche d une alternative à l utilisation des cartes de paiement Cette catégorie repose sur des solutions ayant pour effet de substituer aux cartes de paiement un nouveau moyen de paiement. Les principales expériences sont les suivantes : - la carte virtuelle dynamique, commercialisée par AMEX aux États-Unis ou le groupement Cartes Bleues en France. L acheteur désirant régler un achat en ligne reçoit de sa banque un numéro de paiement valable pour un seul achat. Bien que dénommée carte, cette solution constitue en réalité un nouveau moyen de paiement qui n offre cependant pas la garantie de paiement aux commerçants ; - le porte-monnaie électronique. Il vise à répondre aux paiements de petit montant pour lesquels les cartes de paiement sont mal adaptées, compte tenu des coûts de traitement. Il est commercialisé par de nombreux émetteurs et prend la forme soit de cartes prépayées, soit de points de fidélité ;

- les paiements de personne à personne. Le paiement P to P permet à un internaute d envoyer et de recevoir de l argent par courrier électronique. Il doit pour cela s inscrire sur un site de «paiement par courrier» en fournissant un numéro de compte bancaire ou de carte. Il indique ensuite l e-mel de la personne à qui il veut envoyer de l argent (particuliers, commerçants, etc.) et le montant du virement. Le bénéficiaire reçoit un e-mel le guidant vers le site sécurisé où il ouvrira à son tour un compte en indiquant son compte bancaire habituel afin de percevoir de l argent. Cette solution rencontre un réel succès aux États-Unis mais demeure à un stade embryonnaire en France ; - la banque à domicile. Les banques offrent maintenant à leurs clients des services de consultation et d utilisation de leur compte en ligne. Cette solution permet d effectuer des virements mais ne semble pas en mesure de se développer rapidement compte tenu de la lourdeur et du coût de la procédure (nécessité de disposer du RIB du bénéficiaire du paiement, coût du virement parfois élevé). - Les solutions d authentification des transactions Ces solutions ont pour objet d assurer la non-répudiation comme dans une transaction de proximité. Par exemple, de même qu un paiement chez un commerçant donne lieu à la tabulation du code dans le terminal de paiement, certaines de ces solutions visent à installer un lecteur de carte à puce sur l ordinateur de l internaute, son téléphone mobile ou son décodeur de télévision. Toutefois, les solutions basées sur un lecteur de carte à puce se révèlent coûteuses pour les consommateurs (acquisition d'un matériel dédié), mais aussi dans une moindre mesure pour les commerçants. D'autres solutions, par exemple celle développée par la société Magicaxess et promue par les Caisses d Épargne, visent au contraire à s appuyer sur une authentification du consommateur par un code secret et par un code aléatoire qui lui est transmis par SMS sur son téléphone mobile. Ce type de solution évite au consommateur l acquisition et l utilisation de matériels dédiés. Au total, un grand nombre de solutions sont en cours d expérimentation, mais aucune n a réussi à s imposer comme le protocole SSL. Il demeure difficile actuellement d entrevoir quelle formule s imposera définitivement en matière de sécurisation des paiements en ligne. 2d. Les conditions de déploiement de solutions de paiement sécurisées Le déploiement de ces nouvelles solutions se heurte d'abord à un problème de masse critique. En effet, les travaux d'intégration de ces solutions au sein des sites marchands ne se justifient que si un nombre suffisant de clients du commerçant a déjà adhéré à la solution. Par ailleurs, ces solutions doivent être inter-opérables avec le système bancaire, sans modification substantielle de celui-ci. C'est pourquoi les grandes marques de cartes de paiement comme Visa, Mastercard etc. ont mis en place des modèles ou standards d'inter-opérabilité pour le paiement par carte en ligne. Après l'insuccès du protocole SET, du à la lourdeur de sa mise en œuvre, Visa propose aujourd'hui le modèle appelé 3D Secure qui consiste à définir la chaîne de responsabilité entre la banque émettrice de la carte, la banque du commerçant et Visa. Dans ce schéma, la banque émetteur doit inscrire le porteur au service 3D Secure et authentifie le porteur au moment de l achat. La banque acquéreur propose au commerçant d être affilié au programme 3D Secure et lui fournit un logiciel. Enfin, Visa facilite les échanges entre les deux domaines acquéreur et émetteur, en s appuyant sur un protocole commun, et met en place un historique des authentifications. Visa entend imposer ce modèle aux banques émettrices, par un transfert de responsabilité de la banque acquéreur vers la banque émetteur (qui devient responsable quant à l'authentification, quelque soit le moyen assurantiel ou/et technique qu'elle choisit). Ce modèle ne règle pas la question de l'authentification de l'acheteur et d'autres initiatives de standardisation s'avèrent nécessaires pour régler cette question. Ainsi, les banques promeuvent, avec le

soutien de la Commission européenne, un standard européen, appelé Finread 5, pour une solution d'authentification par carte de paiement basée sur un lecteur de carte à puce sécurisé. Cependant, ce type de solution suppose que les Banques s'engagent à fournir à leurs clients ce type de lecteur à un coût réduit. Aujourd'hui, ces lecteurs demeurent encore trop coûteux, mais des efforts de recherche et développement sont engagés par les industriels pour y remédier, notamment au travers de l'appel à projet OPPIDUM. L'autre axe de standardisation susceptible d'aboutir à des solutions de paiement sécurisé interopérables concerne les travaux sur la signature électronique, à l'ietf (Internet Engineering Task Force), à l'iso au sein des groupes bancaires, ou dans les instances de standardisation européennes (CEN - Comité Européen de Normalisation, ETSI - Institut Européen de Normalisation en Télécommunications). L'utilisation de la signature électronique présente l'avantage, comme SSL, que c'est une technologie déjà plus ou moins intégrée dans les navigateurs et serveurs Web. En combinaison avec l'envoi du numéro de carte bancaire par SSL, la signature électronique permettrait de manifester l'engagement de l'acheteur et garantirait l'achat. Le groupe de travail n 5 de la Mission Économie Numérique, piloté par la Banque de France, doit remettre prochainement une série de recommandations sur les exigences d'ergonomie et de sécurité qui doivent être respectées par ce type de solutions. Ce groupe réfléchit également sur l'opportunité que peut représenter la carte électronique d'identité, projet piloté par le ministère de l'intérieur, pour la sécurisation des transactions financières. 5 Inspiré de la solution Cyber-comm qui est aujourd'hui abandonnée

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back