Le paiement en ligne securisation juridique et technique Cathie-Rosalie Joly >cience
TABLE DES MATIERES Preface 13 Introduction 15 PREMIERE PARTIE. LES INSTRUMENTS DE PAIEMENT ELECTRONIQUE 21 Chapitre 1. L'utilisation de moyens de paiement materiels 25 1.1. Le paiement securise par lecteurs decarteäpuce 25 1.1.1. Lecteur de carte ä puce associe ä un ordinateur 25 1.1.1.1. L'echec du projet «Cyber-COMM» 25 1.1.1.2. Les projets bases surla carte bancaire EMV 26 1.1.2. Le telephone portable bi-fente 26 1.1.3. La television ä peage 27 1.1.4. Lecteur de carte ä puce et Minitel 27 1.2. Le paiement securise par calculatrice 28 1.3. Le paiement securise par cartes prepayees 29 1.3.1. Carte prepayee ägratter 29 1.3.2. Carte prepayee sur CD-Rom 29 1.4. Le paiement securise par carte ä puce sonore 31 1.5. Le paiement securise par porte-monnaie electronique materiel 31 Chapitre 2. L'utilisation de moyens de paiement logiciels 33 2.1. Le porte-monnaie electronique virtuel 33 2.2. Le cheque electronique 34 2.3. Le numero ä 16 chiffres de la carte 35 2.3.1. L'utilisation du numero apparent 35 2.3.2. La carte virtuelle dynamique 36 2.4. Le paiement par courriel 37 2.5. L'utilisation des applications de la banque ä domicile 38
6 Le paiement en ligne 2.6. Le Systeme Kiosque 38 2.7. L'utilisation d'intermediaires 39 2.7.1. Le recours äuntiers de confiance depositaire des fonds 39 2.7.2. Le recours ä un agregateur 40 DEUXIEME PARTIE. LA PREUVE DU PAIEMENT EN LIGNE 43 Chapitre 3. Creation de la preuve du paiement en ligne 47 3.1. Liberte de la preuve du paiement 47 3.2. La preuve legale du paiement 49 3.2.1. L'historique de lanotion d'ecrit 50 3.2.2. Les caracteristiques de la preuve par ecrit du paiement 50 3.2.2.1. La lisibilite 51 3.2.2.2. Lastabilite 51 3.2.2.3. L'inalterabilite ou immutabilite 51 3.2.3. Admission de l'ecrit electronique comme preuve litterale 51 3.2.3.1. La notionjuridique de preuve par ecrit 52 3.2.3.2. Equivalence entre l'ecrit papier et l'ecrit electronique 53 3.2.3.3. Acte sous seingprive et acte authentique 54 Chapitre 4. Perennite de la preuve du paiement en ligne 57 4.1. Lanotion d'archivage 58 4.2. La necessaire fiabilite du procede d'archivage electronique 58 4.2.1. L'identification 59 4.2.2. L'integrite 60 4.2.2.1. Integrite et changement de support 60 4.2.2.2. Integrite et recours ä un tiers 60 4.3. Lisibilite et intelligibilite 62 4.4. Tracabilite 63 TROISIEME PARTIE. LES INSTRUMENTS NUMERIQUES DE SECURISATION DU PAIEMENT EN LIGNE 65 Chapitre 5. La securisation des paiements effectues par EDI 69 5.1. Präsentation de FEDI 69 5.2. Reglementation applicable ä l'edi 72 5.2.1.Lestextesfondateursdelareglementationdel'EDI 72 5.2.2. La normalisation de l'edi 73 5.2.2.1.Destextesreglementairespeuventfairereferenceäunenorme.. 73 5.2.2.2. L'environnement de la normalisation EDI 74 5.3. Miseen oeuvre de l'edi 76 5.3.1. Le contratedi 76 5.3.1.1. La partie juridique du contrat d'interchange 77
Table des matieres 7 5.3.1.2. La partie technique du contrat d'interchange 77 5.3.1.3. Les limites du contrat d'interchange 78 5.3.2. Illustration du fonctionnement de l'edi 78 5.3.3. Evolutions de L'EDI et internet 79 5.3.3.1. Web-EDI 79 5.3.3.2. ebxml 80 5.3.3.3. Illustration avec le projet EDI-INT AS2 d'auchan 80 Chapitre 6. La securisation de la transmission de l'ordre de paiement... 83 6.1. Le protocole SSL 83 6.2. Le protocole SET 83 6.3.LesprotocolesC-SETete-COMM 84 Chapitre 7. Le paiement securise par signature electronique 85 7.1. Utilisation des procedes de signature electronique 85 7.1.1. Reconnaissancejuridique de la signature electronique 86 7.1.1.1. Definition de la signature electronique 87 7.1.1.2. Fonctions de la signature 88 7.1.2. Un procede de signature electronique base surla cryptologie.... 93 7.1.2.1. Präsentation des techniques de chiffrement utilisees 93 7.1.2.2. Reglementation de la cryptologie 94 7.2. La creation de la signature electronique 98 7.2.1. Le dispositif securise de creation de signature electronique 99 7.2.1.1. L'eValuation des logiciels de signature electronique 100 7.2.1.2. L'agrement des centres d'evaluation 101 7.2.1.3. La certification des logiciels de signature electronique... 102 7.2.2. Le recours aux prestataires de Services de certification (PSC).... 103 7.2.2.1. Procedure de certification de la signature electronique... 103 7.2.2.2. Reglementation de la profession de PSC 106 QUATRIEME PARTIE. LES INSTRUMENTS BIOMETRIQUES DE SECURISATION DU PAIEMENT EN LIGNE 119 Chapitre 8. Le developpement de systemes biomerriques d'identification 123 8.1. Les donnees biometriques utilisees enmatiere de securisation 124 8.1.1. Les techniques d'analyse de la morphologie humaine 124 8.1.1.1. Les empreintes digitales 124 8.1.1.2. Lecontour de lamain 126 8.1.1.3. Levisage 127 8.1.1.4. L'ceil 127 8.1.1.5. La voix 128 8.1.1.6. La thermographie du visage 129
8 Le paiement en ligne 8.1.1.7. Le reseau veineux 129 8.1.1.8. Les empreintes auriculaires 129 8.1.2. Les techniques d'analyse du comportement 129 8.1.2.1. La dynamique de la signature 129 8.1.2.2. La facon d'utiliser un clavier 130 8.1.2.3. La facon de marcher 130 8.1.3. Les techniques d'analyse biologiques 130 8.2. Processus de mise en ceuvre d'un Systeme de securisation biometrique.. 130 Chapitre 9. Cadre juridique applicable ä la signature biometrique 133 9.1. Dispositions relatives aux donnees personnelles et älavieprivee... 133 9.1.1. La Loi Informatique et Libertes modifiee et la directive «donnees personnelles» 133 9.1.1.1. Donnee biometrique : une donnee ä caractere personnel.... 134 9.1.1.2. Donnee biometrique : une donnee ärisque 135 9.1.1.3. Droitd'acces et de rectification 136 9.1.1.4. L'obligation de securite 137 9.1.1.5. Les pouvoirs de lacnil 138 9.1.1.6. Dispositions penales 139 9.1.1.7. Transferts transfrontaliers de donnees biometriques 140 9.1.2. La position de la CNIL enmatiere de donnees biometriques... 141 9.1.2.1. Le type de donnees biometriques utilisees 141 9.1.2.2. Modalites de stockage des gabarits biometriques 142 9.1.2.3. Les mesures de securite prises 143 9.2. Reglementation applicable ä la preuve biometrique 143 C l N Q U I E M E P A R T I E. L A M I S E A D I S P O S I T I O N D E M O Y E N S D E P A I E M E N T... 1 4 5 Chapitre 10. Les organes de contröle des systemes et moyens de paiement.. 149 10.1. Accroissement du röle de labanque de France 149 10.1.1. Leröle de labanque de France anterieurement ä la LSQ 149 10.1.2. Renforcement des pouvoirs de labanque de France 151 10.1.2.1. Garantiria securite des moyens de paiement 151 10.1.2.2. Mise en oeuvre du contröle de la securite des moyens de paiement 152 10.2. Creation de l'observatoire de la securite des cartes de paiement 153 Chapitre 11. Les dispositions relatives ä la monnaie electronique 155 11.1. Cadre juridique minimum applicable ä tout etablissement emetteur ou distributeur de monnaie electronique 157 11.1.1. Chargement et rechargement d'un instrument de paiement electronique 158 11.1.2. Remboursabilite de la monnaie electronique 158
Table des matieres 9 11.1.3. Tracabilite des transactions 159 11.1.4. Lutte contre le blanchiment de capitaux 159 11.2. Cadre juridique specifique applicable aux etablissements de monnaie electronique 160 11.2.1. Definition de l'etablissement de monnaie electronique 161 11.2.1.1. Definition francaise 161 11.2.1.2. Definition communautaire 162 11.2.2. Reglementation des etablissements de monnaie electronique... 163 11.2.2.1. Limitation des activites 164 11.2.2.2. Prises de participation 164 11.2.2.3. Le capital initial et les fonds propres permanents 165 11.2.2.4. Laiimitation desplacements 166 11.2.2.5. Les risques de marche 166 11.2.3. Modes de calculs et verification 167 11.2.4. Agrement en qualite d'etablissements de monnaie electronique.. 167 11.2.5. Une gestion saine et prudente 168 11.2.6. Possibilite de deroger aux obligations relatives ä la monnaie electronique 169 Chapitre 12. Le paiement en ligne par carte bancaire 171 12.1. Le contrat porteur cartes bancaires 171 12.1.1. Paiement avec utilisation physique de la carte bancaire 174 12.1.1.1. Limitation de la responsabilite du porteur 174 12.1.1.2. Certaines interrogations demeurent 178 12.1.2. Paiement sans utilisation physique de la carte bancaire 181 12.1.2.1. L'emploi frauduleux des donnees de la carte bancaire.... 183 12.1.2.2. L'emploi frauduleux d'une carte contrefaite 185 12.1.2.3. Certaines interrogations demeurent 189 12.1.3. Exercice du droit d'opposition 191 12.1.3.1. Delai de mise en Opposition 191 12.1.3.2. Forme de l'opposition 192 12.2. L'engagement des professionnels en matiere de paiement en ligne... 193 12.2.1. Les commercants 193 12.2.1.1. Utilisation et conservation de l'equipement electronique et logiciel 193 12.2.1.2. Operation de paiement 194 12.2.2. Les Operateurs de telecommunication mobile 196 SlXIEME PARTIE. DISPOSITIONS PROTECTRICES DU CONSOMMATEUR LORS D'UN PAIEMENT EN LIGNE 197 Chapitre 13. Champ d'application de la protection 201 13.1. Le champ d'application des textes relatifs aux contrats ädistance.... 201
10 Le paiement en ligne 13.1.1. Le contrat doit porter sur la vente d'un bien ou la fourniture d'une prestation de Service 202 13.1.2. Le contrat doit etre conclu entre un consommateur et un professionnel ou fournisseur 203 13.1.2.1. Lanotion de consommateur 203 13.1.2.2. Lanotion de professionnel 204 13.1.3. Le contrat doit etre conclu sans la presence physique des parties.. 204 13.1.4. Le contrat doit etre conclu par l'utilisation exclusive d'une ou plusieurs techniques de communication ä distance 204 13.2. Le champ d'application des textes relatifs au commerce electronique.. 205 13.2.1. Une activite de commerce electronique ou un Service de la societe de l'information 205 13.2.2. Exclusion de certaines activites 207 13.3. Des textes etroitement lies 207 Chapitre 14. L'obligation d'information 209 14.1. Informations anterieures ä la conclusion du contrat 210 14.1.1. Informations relatives au fournisseur 210 14.1.2. Informations relatives au contrat 211 14.1.3. Informations relatives au prix 212 14.1.4. Informations relatives äla securite du site 213 14.1.5. Informations relatives äl'existence d'un droit de retractation... 214 14.2. Informations posterieures äla conclusion du contrat 214 14.2.1. Confirmation de certaines informations 216 14.2.2. Un complement d'information 216 Chapitre 15. Le droit de retractation 217 15.1. Exercice du droit de retractation 218 15.1.1. Delai de retractation 218 15.1.2. Modalites d'exercice du droit de retractation 219 15.1.3. Effets de l'exercice du droit de retractation 220 15.2. Remarques 220 15.2.1. Information relative äl'absence de droit de retractation 220 15.2.2. Caractere discretionnaire du droit de retractation 220 Chapitre 16. Obligations relatives au paiement en ligne 223 16.1. Le droit au remboursement 223 16.2. La conservation du contrat electronique par le fournisseur 224 16.3. Le paiement ä distance par carte bancaire 224 16.4. Les recommandations relatives aux instruments de e-paiement 225 16.4.1. Lerespect de toutes les parties encause et la concertation 226 16.4.2. Lerespect des principes de transparence et d'information 227
Table des matieres 11 SEPTIEME PARTIE. REGLEMENTATION DES INFRACTIONS RELATIVES AU PAIEMENT ET A LA PROTECTION DES DONNEES DE LA CARTE BANCAIRE.. 229 Chapitre 17. Repression penale des infractions relatives aux moyens de paiement 233 17.1. Les infractions relatives aux moyens de paiement sanctionnees par le Codepenal 233 17.1.1. Les infractions de droit commun 234 17.1.1.1. Levol 234 17.1.1.2. L'escroquerie 234 17.1.1.3. L'abus de confiance 235 17.1.1.4. Ledelit de «faussemonnaie» 236 17.1.2. Le delit d'acces frauduleux äunstad 238 17.1.2.1. L'incriminationne supposepas laprotection du Systeme.. 240 17.1.2.2. L'incrimination ne suppose pas l'existence d'un mobile frauduleux 241 17.1.3. Ledelitd'entraved'un STAD 242 17.1.4. Le delit d'introduction, de suppression ou de modification frauduleuse de donnees 244 17.1.5. Creation du delit de fourniture de moyens de fraude informatique.. 245 17.2. Les infractions sanctionnees par le Code monetaire etfinancier 247 17.2.1. Le delit de contrefacon et de falsification d'une carte de paiement ou de retrait 247 17.2.2. La fabrication, l'acquisition, la cession d'equipements, programmes informatiques ou donnees servant ä la contrefacon falsification de moyens de paiement 247 Chapitre 18. Protection des donnees liees ä l'utilisation de la carte de paiement 249 18.1. Deklaration des traitements relatifs aux donnees de la carte de paiement 251 18.1.1. Deklaration du traitement ä la CNIL 252 18.1.2. Respect de lafinalite du traitement et Obligation de loyaute.... 252 18.1.2.1. Le paiement par carte bancaire 253 18.1.2.2. Creation de fichiers d'incidents reprenant le numero de la carte bancaire 254 18.1.2.3. Utilisation du numero de carte bancaire corame identifiant commercial: portefeuilles electroniques, reservation par telephone.. 256 18.1.3. Sanctions dudefaut ou du non-respect de la declaration 257 18.1.3.1. Sanctions prononcees par la CNIL 257 18.1.3.2. Sanctions penales 257 18.2. Obligation de securite des donnees de la carte de paiement 258 18.2.1. Une Obligation de moyen sanctionnee penalement 259
12 Le paiement en ligne 18.2.1.1. L'application de l'article 226-17 du Codepenal 260 18.2.1.2. Obligation de securite et delit relatif ä un Systeme de traitement automatise de donnees 262 18.2.2. La position de la CNIL 264 18.2.2.1. Transmission des donnees liees ä l'utilisation de la carte de paiement 264 18.2.2.2. Stockage des donnees liees ä l'utilisation de la carte de paiement 264 HUITIEME PARTIE. LE RECOURS A DES TIERS DE CONFIANCE 267 Chapitre 19. Les sceaux et labeis de certification relatifs ä la securisation des paiements en ligne 271 19.1. Le cadre reglementaire francais de la labellisation et de la certification 272 19.1.1. Les principes applicables ä la certification de sites de commerce electronique 272 19.1.2. Les labeis delivres par la CNIL 274 19.1.3. Le referentiel presente les criteres objectifs du contröle 274 19.1.4. Le contröle du fonctionnement des organismes de certification.. 275 19.2. Les initiatives en cours 276 19.2.1. Les organismes certificateurs declares aupres du MINEFI 276 19.2.2. Les «labeis non officiels» developpes par des acteurs independants 277 19.2.3. Les «labeis autoproclames» developpes sans garanties d'independance 280 Chapitre 20. Le recours ä l'assurance des paiements en ligne 281 20.1. Les garanties de l'assurance des paiements en ligne 281 20.1.1. Les garanties de l'assurance des paiements en ligne cöte marchand 281 20.1.2. Les garanties de l'assurance des paiements en ligne cöte internaute 282 20.2. Quelques exemples d'assurance des paiements en ligne 284 20.2.1. FIA-NET/@rating, IFENET, des assurances francaises 284 20.2.2. TRUSTED SHOPS, une assurance europeenne 286 Conclusion 287 Bibliographie 291 Index 297