Le paiement en ligne : l'état du droit face à la technique

LEXBASE HEBDO n 223 du Mercredi 12 Juillet 2006 - Edition AFFAIRES [Internet] Evénement Le paiement en ligne : l'état du droit face à la technique N0679ALQ Le 4 juillet dernier, l'association pour le développement de l'informatique juridique (ADIJ) a organisé, en partenariat avec les éditions juridiques Lexbase, une conférence sur le thème du "Paiement en ligne : l'état du droit face à la technique". L'intervention de Cathie-Rosalie Joly, Docteur en droit, avocat, auteur de l'ouvrage Paiement en ligne : aspects juridiques et techniques, paru aux éditions Hermes Sciences Lavoisier, invite à la confiance à l'égard du paiement en ligne. En effet, "dans la vie, rien n'est à craindre, tout est à comprendre" (Marie Curie). Or, dès qu'il s'agit du paiement en ligne, la confiance du payeur tombe, dans la mesure où ce dernier se retrouve dans une situation de contradiction : d'un côté, il reçoit des consignes de vigilance quant au paiement en ligne et, d'un autre côté, il perçoit aussi une incitation au paiement en ligne. Le commerce et le paiement sont, rappelons-le, deux questions intimement liées. Aujourd'hui, l'on parle ainsi de commerce électronique et le paiement en ligne soulève, en premier plan, la question de la sécurité. C'est pourquoi, lors de cette conférence, ont été abordés, tout d'abord, le thème de l'offre technique disponible (I) et, ensuite, la question du droit applicable aux différents acteurs (II). I - L'offre technique disponible S'il on ne connaît, le plus souvent, que la carte bancaire comme moyen de paiement en ligne, il existe pourtant une multitude de procédés de moyens de paiement (A). Dans tous les cas, lorsque l'on effectue un paiement, l'on a besoin de s'assurer de trois choses : la sécurisation de la transmission des données, la sécurisation de la transaction et la conservation de la preuve de la transaction. Divers procédés de sécurisation du paiement sont, à cet égard, envisageables (B). A - Divers procédés de paiement en ligne Les divers procédés de paiement en ligne peuvent être regroupés en trois grandes catégories : les moyens de paiement matériels (1), les moyens de paiement logiciels (2) et le recours à des intermédiaires (3). 1 - Les moyens de paiement matériels Lecteurs de cartes à puce (TPE) Le lecteur de cartes à puce est le moyen de paiement matériel le plus connu et, notamment, le lecteur associé aux ordinateurs. Aujourd'hui, l'on cherche toujours à mettre en oeuvre un boîtier moins onéreux, sur lequel s'affichera un pictogramme à huit chiffres qui changera lors de chaque transaction. Existe également le téléphone portable bi-fente. L'acheteur confirme la commande par sms

et le marchand donne à son tour confirmation par sms. L'acheteur insère alors la carte bancaire dans le téléphone et l'ordre de paiement est envoyé à la banque par sms. Parmi les lecteurs de cartes à puce se trouve aussi la télévision à péage. Le décodeur est ici muni d'un lecteur de carte bancaire. Tel est le cas du paiement pour visionner les chaînes cryptées. Enfin, l'on peut souligner la carte à puce associée au Minitel, laquelle présente toutefois peu d'intérêt dans la mesure où l'on dispose déjà du Système Kiosque. Calculatrices générant un numéro à usage unique Il existe actuellement plusieurs offres de calculatrices générant un numéro à usage unique sur le marché. L'on peut citer, tout d'abord, le Sep-Wallet, où le porteur note le code qui apparaît sur l'écran et qui va lui servir de clé unique. Ce système suppose donc le recours à un tiers qui vient sécuriser l'opération. L'on peut, ensuite, citer le Token, où l'utilisateur saisit son numéro de carte bancaire, le numéro de sécurisation et la date d'expiration, sur le site du marchand. Le marchand lui communique alors un code aléatoire. L'utilisateur inscrit ce code sur la calculatrice, laquelle lui renvoie un autre numéro. Le marchand vérifie après la correspondance des deux codes. Ce système, cependant, est surtout utilisé comme instrument de sécurisation de l'ordre de paiement donné par carte bancaire sur internet. Cartes prépayées La carte prépayée à gratter comporte un code à gratter et est utilisée pour le micropaiement. Un nouveau type est apparu : la carte prépayée sur CD-Rom. Avec ce dernier moyen, l'on accède au contenu du ou des site(s) associé(s) à la carte. Ce système sert essentiellement à ceux qui souhaitent au maximum sécuriser les paiements, tels que les sites à caractère pornographique. Carte à puce sonore La carte à puce sonore s'apparente à une carte de visite. Elle émet une séquence sonore que l'on appose sur le téléphone ou le micro. Cette fréquence vocale est à usage unique. L'empreinte sonore est communiquée au moment de sécuriser. Ce système est aujourd'hui proposé par la société franco-américaine Elva. Porte-monnaie électronique matériel L'un des exemples de porte-monnaie électronique matériel est le système Moneo, lancé dès les années 2000. Ce système est intéressant en ce qu'il est limité en montant, mais présente l'inconvénient de devoir payer un abonnement à la banque pour bénéficier de ce service. 2 - Les moyens de paiement logiciels Porte-monnaie électronique virtuel Le porte-monnaie électronique virtuel est un logiciel à installer sur l'ordinateur, valable pour un ou plusieurs sites. Ce porte-monnaie est crédité par carte bancaire ou par chèque. Chèque électronique Le chèque électronique n'existe pas en France, la réglementation étant plus stricte, mais est expérimenté aux Etats-Unis. Il a comme intérêt de pouvoir être un alternatif à ceux qui ne possèdent pas de carte bancaire. Il prend la forme d'un carnet de chèques électroniques. Numéro à 16 chiffres de la carte bancaire

Il s'agit là, classiquement, de la transmission du numéro apparent de la carte bancaire, des chiffres de sécurisation et de la date d'expiration, informations que le commerçant transmet à sa banque. Ensuite, la banque créditera le commerçant et débitera le client. Existe, aussi, la carte virtuelle dynamique (CVD). Le client souscrit, ici, un système de carte virtuelle dynamique auprès de sa banque. Il s'agit d'un logiciel avec un numéro de carte virtuelle à usage unique. L'inconvénient de ce système se présente donc lorsqu'il est nécessaire de présenter la carte pour retirer la chose commandée. Courriel Le paiement s'effectue ici par e-mail ou sms. L'internaute, tout comme le commerçant, doivent chacun être inscrits à ce service. Les deux passeront, lors d'une opération, par l'intermédiaire qui propose ce service. Banque à domicile Il s'agit ici du système de banque en ligne déjà connu, permettant de contrôler les comptes, d'effectuer soi même des virements, etc. Il est parfois utilisé un autre numéro à usage unique fourni par la banque. Le Système Kiosque Le Système Kiosque consiste dans la surfacturation téléphonique. L'on passe par un opérateur traditionnel (France Télécom). Ce système est ce qui a fait le succès du Minitel et de l'audiotel. 3 - Recours à des intermédiaires agrégateurs (w-ha) Le recours à un tiers de confiance peut se faire, soit par un séquestre, soit par un agrégateur. Le recours à un agrégateur est un système qui permet au site marchand de faire payer par le fournisseur d'accès à internet. L'intérêt de ce système est de ne pas être limité aux paliers fixés par France Télécom. B - Divers procédés de sécurisation du paiement La sécurisation du paiement suppose, à la fois, la confidentialité des données transmises (1), leur authentification et leur intégrité (2) ainsi que leur pérennité (3). 1 - Sécurisation de la transmission des données (Confidentialité) La sécurisation de la transmission des données bancaires est assurée, aujourd'hui, par la SSL, qui est un cryptage par clé unique, clé qui permet à la fois de crypter et décrypter. Le protocole SET avait été lancé mais a été abandonné en 2001 ; ce protocole présentait deux clés, dont l'une restait secrète. 2 - Sécurisation de la transaction (Authentification et Intégrité) Il existe, aujourd'hui, une nouvelle offre qui garantit cette authentification et cette intégrité : le système 3D-Secure de Visa, qui permet un Liability Shift, c'est-à-dire la prise en charge par les banques des risques de la transaction. Ce système n'est pas encore disponible en France, mais l'est à l'international. Le client doit avoir souscrit ce système auprès de sa banque. Il en est de même pour le marchand. Le client passe commande sur le site du marchand et transmet son numéro de carte bancaire. Ce numéro est envoyé au Plug-in du commerçant, c'est-à-dire le logiciel remis par la banque au marchand. Ce logiciel renvoie le numéro de carte bancaire à la banque du marchand, qui vérifie dans un annuaire à quelle banque correspond le numéro de carte bancaire. La banque du client est interrogée. Le client sera identifié par système biométrique ou par d'autres systèmes. La banque interroge donc le client pour savoir si c'est bien lui qui a effectué la transaction et s'il donne son accord. S'il est d'accord, il s'identifie auprès de sa banque puis le serveur de contrôle retourne vers le logiciel du marchand pour lui indiquer que l'autorisation est acceptée. Le commerçant renvoie alors l'ordre de paiement à sa banque. L'intérêt est, ici, la garantie des paiements, dans la mesure où les banques sont chargées de vérifier l'authentification du client et que ce dernier a donné son accord. La signature électronique est un autre moyen pour sécuriser la transaction. Elle a été juridiquement reconnue par la loi n 2000-230 du 13 mars 2000 (N Lexbase : L0274AIY).

S'agissant de la présomption de fiabilité du procédé de la signature, l'article 2 du décret du 30 mars 2001 (décret n 2001-272, 30 mars 2001, pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique N Lexbase : L1813ASX) énonce que "la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié". Par ailleurs, le dispositif sécurisé de création de signature doit garantir que la confidentialité des données de création est assurée et qu'elles ne peuvent pas être établies plus d'une fois ni être trouvées par déduction, que le signataire peut les protéger contre toute utilisation par des tiers. Aussi, ce dispositif ne doit-il entraîner aucune altération du contenu de l'acte à signer ni faire obstacle à ce que le signataire en ait une connaissance exacte avant de signer (Lire Pratique de la signature et de l'archivage électronique (PSAE), Lexbase Hebdo n 199 du 26 janvier 2006 - édition affaires N Lexbase : N3517AKH). La signature doit être couplée d'un certificat électronique, défini par le décret du 30 mars 2001 précité comme "un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire". Enfin, la sécurisation du paiement peut être assurée par l'identification biométrique. S'agissant du fonctionnement de ce système, il convient tout d'abord de choisir la donnée biométrique (sachant que l'empreinte digitale, l'iris ou la rétine sont les données les plus précises, à la différence du contour du visage ou de la main). La banque va enregistrer cette donnée au préalable, mais ne va utiliser que quelques caractéristiques de cette donnée biométrique et non toute la donnée. Il convient de demander l'autorisation préalable à la CNIL, prévue à l'article 25-1-8 de la loi informatique et libertés (loi n 78-17, 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi du n 2004-801 du 6 août 2004 N Lexbase : L8794AGS). Notons aussi que la CNIL recommande la prudence quant au type de données, au mode de stockage et de sécurisation des gabarits, et aux besoins de sécurité. 3 - Conservation de la preuve de la transaction La conservation des justificatifs de la transaction s'effectue par le recours à l'archivage. Le but est ici de garantir l'identification des parties et l'intégrité de l'autorisation, mais aussi de garantir la lisibilité et l'intelligibilité de l'acte. On applique, pour cela, les exigences de la preuve électronique à l'archivage, en archivant à la fois la signature électronique et le certificat. Pour cela, on met en place un chemin de preuve assurant la traçabilité des différentes interventions. Enfin, notons que l'archivage peut être effectué en interne ou en externe. II - Le droit applicable aux acteurs du paiement en ligne Le droit applicable aux acteurs du paiement en ligne concerne, en premier lieu, la protection du porteur (A), en deuxième lieu, les obligations incombant au cyber-marchand (B) et, enfin, le statut des fournisseurs de moyens de paiement électroniques (C). A - La protection du porteur 1 - La protection du porteur en France Le régime de la protection du porteur en France est fonction du fait qu'il y a, ou non, utilisation physique de la carte, c'est-à-dire qu'il y a, ou non, saisie du code. En cas d'utilisation physique de la carte, les dispositions de l'article L. 132-3 du Code monétaire et financier (N Lexbase : L0912AWP) sont applicables. Le principe est alors que, avant opposition, le plafond accordé est de 150 euros et, après opposition, le porteur est déchargé de toute responsabilité. Toutefois, le client ne doit pas avoir commis de faute lourde ni avoir fait une opposition tardive. Le délai raisonnable ne peut être inférieur à deux jours ; il variera ensuite, pour apprécier la tardiveté, selon la fréquence d'utilisation de la carte par le client. Aussi, rappelons que l'opposition peut être effectuée par téléphone, fax, minitel... En l'absence d'utilisation physique de la carte, les dispositions de l'article L. 132-2 du Code monétaire et financier (N Lexbase : L3484APQ) sont applicables. Il s'agit, ici, d'une carte contrefaite ou de données liées à l'utilisation de la carte bancaire. Dans ce cas, le porteur n'a aucune responsabilité et a droit au remboursement de l'opération et des frais engagés. La contestation de l'opération devra être effectuée par écrit dans un délai de 70 à 120 jours à compter de ladite opération.

2 - La protection du porteur d'instruments de paiement électroniques en Europe La protection du porteur d'instruments de paiement électroniques en Europe est régie par la recommandation 97/489. Selon ce régime, le porteur bénéficie, en cas de vol ou de perte de l'instrument de paiement, d'un plafond de 150 euros avant opposition, et d'un complet remboursement après opposition, à moins qu'il ait fait preuve d'une négligence extrêmement frauduleuse. Le régime français connaît, ici, des critiques dans la mesure où, n'appliquant cette protection que pour les cartes de paiement, il réduit le périmètre de protection. B - Obligations incombant au cyber-marchand 1 - Obligations incombant au cyber-marchand du fait du Contrat fournisseur VAD Lors du paiement par carte bancaire, le cyber-marchand est tenu de vérifier les informations fournies par le client et de vérifier la commande auprès du client. Au-delà du seuil fixé dans le contrat, il est également tenu de demander l'autorisation de la banque. Enfin, il doit assurer la confidentialité des données liées au paiement et demander la signature du client au-delà de 800 euros. 2 - Obligations incombant au cyber-marchand après le paiement Le cyber-marchand est tenu de conserver et transmettre à sa banque les justificatifs de l'opération de paiement. Il doit, en outre, demander la présentation de la carte bancaire du client lors de la livraison. Enfin, il doit autoriser expressément la banque à le débiter de toute opération contestée. 3 - Obligations incombant au cyber-marchand du fait de la protection des données personnelles Les obligations incombant au cyber-marchand du fait de la protection des données personnelles sont davantage importantes. Pèse, d'abord, sur le cyber-marchand une obligation de déclaration des opérations portant sur les données de carte bancaire. Aussi, le cyber-marchand doit-il conserver les données de la carte bancaire dans le respect de la finalité qu'est la paiement. La finalité du paiement se distingue du cas où les données sont utilisées comme identifiant commercial, la finalité première étant alors la mise en place d'une relation de fidélisation avec le client. La CNIL a recommandé la conservation des numéros de carte bancaire cryptés, et de prévoir un affichage tronqué pour ceux qui travaillent au service du cyber-marchand. Les manquements à ces obligations sont punis, en application de l'article 226-20 du Code pénal (N Lexbase : L4484GTA), de cinq ans d'emprisonnement et de 300 000 euros d'amende. 4 - Obligations de sécurité des données de carte bancaire Parmi les obligations de moyens de sécurité, l'on peut citer l'obligation de crypter les données, d'utiliser des "firewall", d'installer des antivirus, d'utiliser des mots de passe, de contrôler l'accès aux locaux de l'entreprise, de sensibiliser le personnel... Là encore, les manquements à ces obligations sont punis, en application de l'article 226-17 du Code pénal (N Lexbase : L4479GT3), de cinq ans d'emprisonnement et de 300 000 euros d'amende. Notons que les risques de mise en cause sont élevés en théorie mais que, faute d'information, il y a peu de poursuites. C - Statut des fournisseurs de moyens de paiement 1 - Emission de moyens de paiement en France On compte, en France, deux établissements émetteurs. L'établissement de crédit est défini par l'article L. 511-1 du Code monétaire et financier (N Lexbase : L9477DYN), aux termes duquel "les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque au sens de l'article L. 311-1". L'article L. 311-1 du Code monétaire et financier (N Lexbase : L0377DZY) énonce, quant à lui, que "les opérations de banque comprennent la réception de fonds du public, les opérations de crédit, ainsi que la mise à la disposition de la clientèle ou la gestion de moyens de paiement". Sont considérés comme moyens de paiement tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé. L'établissement de monnaie électronique est, lui, défini comme un établissement limitant son activité à l'émission, la mise à disposition du public ou la gestion de monnaie

électronique. La monnaie électronique est composée d'unités de valeur, dites unités de monnaie électronique. Chacune constitue un titre de créance incorporé dans un instrument électronique et accepté comme moyen de paiement par des tiers autres que l'émetteur. La monnaie électronique étant émise contre la remise de fonds pour une valeur ne pouvant excéder celle des fonds reçus en contrepartie. Ces établissements bénéficient du passeport européen. 2 - Le passeport européen : l'agrément La deuxième Directive bancaire du 15 décembre 1989 (Directive (CE) 89/646 du Conseil du 15 décembre 1989 visant à la coordination des dispositions législatives, réglementaires et administratives concernant l'accès à l'activité des établissements de crédit et son exercice, et modifiant la Directive 77/780/CEE N Lexbase : L9933AUG) a permis l'ouverture du marché unique des services bancaires par la mise en place d'un agrément unique : le "passeport européen". Cet agrément est délivré par le Comité des établissements de crédit et des entreprises d'investissements (CECEI) aux établissements de crédit et aux établissements de monnaie électronique. Propos recueillis par Florence Labasque SGR - Droit commercial