LE PAIEMENT EN LIGNE - adij.fr · Cathie-Rosalie JOLY Docteur en droit – avocat Directrice du site d’information juridique NJuris.com Auteur de l’ouvrage « Paiement en ligne:

Cathie-Rosalie JOLYDocteur en droit – avocat

Directrice du site d’information juridique NJuris.comAuteur de l’ouvrage « Paiement en ligne: aspects juridiques et

techniques » paru aux éditions Hermes Sciences [email protected]

LE PAIEMENT EN LIGNE :L’état du droit face à la technique

Les Mardis de l’ADIJMaison du barreau le 4 juillet 2006

Plan

L’offre technique disponibleProcédés de paiement en ligneProcédés de sécurisation du paiement en ligne

Le droit applicable aux différents acteursProtection du porteurObligations incombant au cyber-marchandStatut des fournisseurs de moyens de paiement

L’OFFRE TECHNIQUE DISPONIBLE

Divers procédés de paiement en ligne• Moyens de paiement matériels• Moyens de paiement logiciels• Recours à des intermédiaires

Divers procédés de sécurisation du paiement• Sécurisation de la transmission des données• Sécurisation de la transaction• Conservation des justificatifs de la transaction

Les divers procédés de paiementLes moyens de paiement matériels

Lecteurs de cartes à puce (TPE)Associé à un ordinateurTéléphone portable bi-fenteTélévision à péageMinitel

Calculatrices générant un numéro à usage unique Sep-WalletToken

Cartes prépayées Carte prépayée à gratterCarte prépayée sur CD-Rom

Carte à puce sonorePorte monnaie électronique matériel

Les divers procédés de paiement (suite)

Les moyens de paiement logicielsPorte monnaie électronique virtuelChèque électroniqueNuméro à 16 chiffres de la carte bancaire

Utilisation du numéro apparentCVD

CourrielBanque à domicileSystème Kiosque

Recours à des intermédiaires agrégateurs (w-HA)

Divers procédés de sécurisation du paiement

Sécurisation de la transmission des données (Confidentialité)

Transfert des données bancaires (SSL/SET)Transfert des données couplé à un TPE (SET)

Sécurisation de la transaction (Authentification & Intégrité)

3D-Secure de VISA = Liability ShiftSignature électroniqueBiométrie

Conservation de la preuve de la transaction (Pérennité)

Client Commerçant

Banqueclient

Serveur de contrôle d’accès Annuaire

Banquemarchand

Plug-in

Opérations réalisées dans le cadre du système 3D Secure

Retour au système d’autorisation CB classique

Mise en œuvre du système 3D-Secure

6

5

2

3

8

7

1

4

Signature électroniqueLoi 13 mars 2000 : Reconnaissance juridique

Présomption de fiabilité du procédé de signatureL’article 2 du décret du 30 mars 2001 : « la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié »

Dispositif sécurisé de création de signatureDoit garantir que la confidentialité des données de création est assurée et qu’elles ne peuvent pas être établies plus d’une fois ni être trouvées par déduction, que le signataire peut les protéger contre toute utilisation par des tiers

Ne doit entraîner aucune altération du contenu de l'acte à signer ni faire obstacle à ce que le signataire en ait une connaissance exacte de l’acte avant de le signer.

Certification de la signature électroniqueDécret n° 2001-272 du 30 mars 2001 définit le certificat électronique comme « un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire ».

Identification biométrique

Fonctionnement

Autorisation préalable de la CNIL art 25-1-8° de la loi « informatique et libertés » modifiée en 2004

Position de la CNIL fondée sur :Le type de donnéesLe mode de stockage et de sécurisation des gabaritsLes besoins de sécurité

Conservation de la preuve de la transaction

Appliquer les exigences de la preuve électronique àl’archivage

Garantir l’identification des parties et l’intégrité de l’autorisation Garantir la lisibilité et l’intelligibilité

Mise en place d’un chemin de preuve assurant la traçabilitédes différentes interventions

Mise en œuvre de l’archivageArchivage interneArchivage externe

LE DROIT APPLICABLE AUX ACTEURS DU PAIEMENT EN LIGNE

Protection du porteur• France / Europe

Obligations incombant au cyber-marchand• En vertu du contrat fournisseur• En application du droit des données personnelles

Statut des fournisseurs de moyens de paiement électroniques

• France / Europe

Protection du PorteurFrance : Protection du porteur de carte bancaire

Le régime est fonction du fait qu’il y a (ou pas) utilisation physique

Avec utilisation physique de la carte (art. L 132-3 cmf)

Principe : Plafond de 150 € avant opposition Après opposition absence de responsabilité

Exceptions : Faute lourde et Opposition tardive

Forme de l’opposition : téléphone, fax, minitel…

Protection du Porteur en France (suite)

Sans utilisation physique de la carte (art. L 132-2 cmf)

Données liées à l’utilisation de la CB / carte contrefaite

Droit au remboursement de l’opération et des frais engagés

Forme de la contestation : Par écrit dans un délai de 70 à120 jours à compter de l’opération contestée

Europe : Protection du porteur d’instruments de paiement électronique

Recommandation 97/489Vol ou perte de l’instrument de paiement

150 € avant opposition / complet remboursement aprèsException : négligence extrêmement frauduleuse

Absence de responsabilité du porteurPas de présentation physique de l’instrument de paiementPas d’identification électronique

Critique du régime FrançaisRéduit le périmètre de protection

Protection du Porteur (suite)

Obligations incombant au cyber-marchand

Du fait du Contrat fournisseur VAD

Lors du paiement par carte bancaire

Vérifier les informations fournies par le client

Vérifier la commande auprès du client

Au delà du seuil fixé dans le contrat, demander l’autorisation de sa banque

Assurer le confidentialité des données liées au paiement

Demander la signature du client au delà de 800 €

Obligations incombant au cyber-marchand (suite)

Après le paiement

Conserver et transmettre à sa banque les justificatifs de l’opération de paiement

Demander la présentation de la CB du client lors de la livraison

Autoriser expressément la Banque à le débiter de toute opération contestée


Du fait de la protection des données personnelles

Déclaration des opérations portant sur les données CB

Conservation des données CB dans le respect des finalités

Conservation des données aux fins de paiement« Le délai légal pendant lequel le titulaire d’une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date de l’opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours à compter de l’opération contestée ».

Utilisation des données comme identifiant commercial

Recommandations de la CNIL

Sanctions : art. 226-20 cp


Obligation de sécurité des données CB

Obligation de moyens Crypter les donnéesUtiliser des « firewall »Installer des antivirusUtiliser des mots de passeContrôler l’accès aux locaux de l’entrepriseSensibiliser le personnel…

Délégation de la mission de sécurisation des données


Sanction du manquement à l’obligation de sécurité

5 ans d’emprisonnement et 300 000 € (art 226-17 cp)

Principe de proportionnalité

Risques de mises en cause élevés en théorie

Peu de poursuites faute d’information

Remarque : Obligation de sécurité et délit relatif à un STAD

Statut des fournisseurs de moyens de paiement

Émission de moyens de paiement en France

Établissements émetteurs

Établissement de crédit (art. L 511-1 cmf)

« les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque au sens de l'article L. 311-1.

Les opérations de banque comprennent la réception de fonds du public, les opérations de crédit, ainsi que la mise à la disposition de la clientèle ou la gestion de moyens de paiement .

Sont considérés comme moyens de paiement tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé »

Statut des fournisseurs de moyens de paiement (suite)

Établissement de monnaie électronique

L’établissement de monnaie électronique est un établissement limitant son activité à l’émission, la mise à disposition du public ou la gestion de monnaie électronique.

La monnaie électronique est composée d’unités de valeur, dites unités de monnaie électronique. Chacune constitue un titre de créance incorporé dans un instrument électronique et accepté comme moyen de paiement par des tiers autres que l’émetteur. La monnaie électronique étant émise contre la remise de fonds pour une valeur ne pouvant excéder celle des fonds reçus en contrepartie .


Le passeport européen : l’agrément

Deuxième directive bancaire du 15 décembre 1989 : Ouverture du marché unique des services bancaires par la mise en place d’un agrément unique : « Passeport européen »

Agrément délivré par le Comité des Établissements de crédit et des entreprises d’investissements

Établissement de crédit


CECEI peut exempter d’agrément (L 111-7 cmf)

« une entreprise exerçant toute activité de mise à disposition ou de gestion de moyens de paiement lorsque ceux-ci ne sont acceptés que :

- par des sociétés qui sont liées à cette entreprise

- ou par un nombre limité d'entreprises qui se distinguent clairement par le fait qu'elles se trouvent dans les mêmes locaux ou dans une zone géographique restreinte ou par leur étroite relation financière ou commerciale avec l'établissement émetteur, notamment sous la forme d'un dispositif de commercialisation ou de distribution commun. »



Émission de moyens de paiement en Europe

Établissements émetteurs

Établissement de crédit

L’article 1er alinéa 1 de la directive 2000/12/CE du 20 mars 2000 définit l’établissement de crédit comme étant « une entreprise dont l’activité consiste àrecevoir du public des dépôts ou d’autres fonds remboursables et à octroyer des crédits pour son propre compte »


L’article 1er point 3 (a) de la directive 2000/46/CE définit l’établissement de monnaie électronique comme étant une entreprise ou toute autre personne morale, autre qu’un établissement de crédit, qui émet des moyens de paiement sous la forme de monnaie électronique.

Établissement financier

Article 1er alinéa 5 de la directive 2000/12/CE,« établissement financier : une entreprise, autre qu’un établissement de crédit, dont l’activité principale consiste à prendre des participations ou à exercer une ou plusieurs activités visées aux points 2 à 12 de la liste figurant à l’annexe 1.(…) 4) opérations de paiement ;

5)émission et gestion de moyens de paiement ».



Critique du régime français

L’offre de services de paiement non électronique entraîne la qualification d’établissement de crédit

Limite la libre prestation des services de paiement dans le marché intérieur

Proposition de Directive « services de paiement dans le marché intérieur » : mise en place d’un cadre harmonisé

Créer une 4e catégorie de prestataires de services de paiement «les établissements de paiement»

Les conditions d’octroi et de maintien de l’agrément en tant qu’établissement de paiement devraient inclure des exigences prudentielles proportionnées aux risques opérationnels et financiers

Les fonds des clients devraient être séparés des fonds employés par les établissements de paiement aux fins d’autres activités commerciales.

Les établissements de paiement devraient être soumis à des exigences appropriées en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme.


Responsabilité de l’utilisateur

Avant notification : les opérations restent à sa charge mais de manière plafonnée (150 €)

Après notification du vol ou de la perte : déchargé de sa responsabilité

Si son instrument de vérification des paiements n’a pas été perdu ni volé, l’utilisateur ne devrait supporter aucune conséquence financière d’une utilisation non autorisée.

Délai d’exécution des paiements : J+1 pour les virements sans conversion de devises, et par défaut pour tout autre paiement en l’absence de stipulation contractuelle.



Mise en place d’un régime transitoire (article 80)

« les États membres autorisent les personnes, y compris les établissements financiers au sens de la directive 2000/12/CE, qui ont commencé à exercer l’activité d’établissement de paiement telle que prévue dans la présente directive, conformément à la législation nationale en vigueur avant le [ date d’entrée en vigueur de la directive ], à poursuivre cette activité dans l’État membre concerné pendant 18 mois au maximum après la date indiquée àl’article 85, paragraphe 1, premier alinéa. »

Cathie-Rosalie JOLYDocteur en droit - avocat

Directrice du site d’information juridique NJuris.comAuteur de l’ouvrage « Paiement en ligne: aspects juridiques et

techniques » paru aux éditions Hermes Sciences [email protected]

-Merci pour votre attention -

LE PAIEMENT EN LIGNE :L’état du droit face à la technique

Documents

LE PAIEMENT EN LIGNE - adij.fr · Cathie-Rosalie JOLY Docteur en droit – avocat Directrice du site d’information juridique NJuris.com Auteur de l’ouvrage « Paiement en ligne: