Click here to load reader

Les paiements sur l'internet

  • View
    225

  • Download
    6

Embed Size (px)

Text of Les paiements sur l'internet

  • 1

    Les paiements sur linternet Deuxime rapport de lObservatoire de la Cyber-Consommation

    19 mai 2005

  • 2

    Sommaire

    Introduction.................................................................................................... 3 I Le paiement par carte bancaire sur linternet : de multiples procds garantissant une protection lacheteur......................................................... 5 A Un consommateur protg face des risques identifis et juguls ...................... 5 1 Linexistence du piratage de la carte bancaire sur linternet. ........................... 5 2 Les protections labores afin de rassurer le client et lutter contre la fraude ..... 7

    B Les consquences des mesures de scurisation du processus de paiement en ligne ......................................................................................................... 12 1 La ralit de la fraude la carte bancaire sur linternet ................................ 13 2 La ncessaire participation du cyber-consommateur la protection de son environnement numrique ............................................................................ 13 3 Les difficults rencontres par les acteurs marchands dans le secteur du paiement en ligne ........................................................................................ 16

    II Le micro-paiement et le porte-monnaie lectroniques : deux outils alternatifs ddis au paiement de petites sommes........................................ 22 A Les outils existants en matire de paiement de petites sommes ....................... 23 1 Le recours des numros revenus partags ............................................ 23 2 Le porte-monnaie lectronique ................................................................. 26 3 Le paiement par courrier lectronique ....................................................... 29 4 Le paiement partir doutils physiques...................................................... 30 5 Le rtro-paiement : le cash-back ......................................................... 31

    B Les difficults pratiques rencontres par les consommateurs et les acteurs du paiement de petites sommes ............................................................................ 32 1 Lescroquerie au dialer ............................................................................ 33 2 Linformation du consommateur lors dachats de biens immatriels par mobile ou de lobtention de codes daccs...................................................................... 34 3 Lclatement du secteur du micro-paiement ............................................... 35 4 La difficile comprhension du dispositif bancaire franais.............................. 35

    Conclusion..................................................................................................... 37 Annexe 1 :......................................................................................................... Composition de lObservatoire de la Cyber-Consommation ........................... 38 Annexe 2 :......................................................................................................... Liste des personnes auditionnes ou consultes........................................... 39 Annexe 3 :......................................................................................................... Rapport dactivit de lObservatoire permanent de la Cyber-Consommation. 41

  • 3

    Introduction

    Lanne 2004 a encore constitu une anne de forte progression du commerce lectronique. Selon le baromtre de la FEVAD (Fdration des entreprises de vente distance) publi le 20 janvier 20051, les ventes en ligne ont augment de plus de 53% par rapport lanne prcdente. LACSEL (Association pour le commerce et les services en ligne), quant elle, indiquait en fvrier 20052 une hausse de 65% du chiffre daffaire du commerce lectronique franais pendant la mme priode, ce dernier ayant dpass le seuil symbolique des 2 milliards deuros. Le panier moyen de linternaute se situe aujourdhui autour de 54 euros, celui-ci achetant de plus en plus rgulirement. Dans un tel contexte, la question du paiement sur linternet est primordiale la fois pour lacheteur et le vendeur. Dune part, le consommateur a besoin dtre rassur face lusage doutils informatique et technique quil ne matrise pas forcment. Dautre part, le professionnel a besoin de solutions de paiement efficaces, rapides et fiables permettant au consommateur de raliser de la manire la plus fluide possible son acte dachat. Cette angoisse de lacheteur se reflte parfaitement dans les divers chiffres publis. Ainsi selon une tude mene par le Credoc3, pour 32% des Franais interrogs, la scurit des paiements sur linternet ne semble pas assure. En 2001, 48% des personnes interroges et 44% en 2003 exprimaient cette crainte4. Si la peur de donner son numro de carte bancaire ne constitue pas le premier obstacle des Franais lachat en ligne, elle demeure en quatrime place derrire labsence de connaissance de lenseigne (77%), labsence de contact avec le produit (73%) ou de conseils de la part du vendeur (65%). Nanmoins, une fois le pas franchi, le taux dusage des cartes de paiement est particulirement important. Selon la FEVAD, 80% des achats sont pays par ce moyen (carte bancaire ou carte privative), 14% par chque, 5% par prlvement, virement ou mandat et seulement 1% par des mcanismes de contre-remboursement ou de paiement la livraison.

    * * *

    Cest la problmatique des paiements que lObservatoire permanent de la Cyber-Consommation, cr en septembre 2003 dans le but dassurer une veille sur les nouveaux enjeux de la cyber-consommation, a souhait tudier dans son prsent rapport. Celui-ci se concentre sur la question des paiements en ligne prise dans son acception la plus large possible et non pas simplement dans sa seule dfinition juridique dextinction dune crance. Le rapport na pas examin les problmatiques lies la non-acceptation du paiement en numraire pour des contrats conclus en ligne5.

    1 Baromtre FEVAD ralis partir dun panel de 30 sites http://www.fevad.com/fr/gre_page/affiche_page.asp?categorie=94&id_page=136 2 Baromtre ACSEL/PricewaterhouseCoopers ralis partir dun panel de 25 sites http://www.acsel.asso.fr/communiques/communiques.asp?ref=45 3 Etude Credoc/FEVAD, juin 2004. 4 Etude Credoc, juin 2001 et juin 2003. 5 Sur cette question, voir ainsi : C. Manara, C2B Les consommateurs franais face quelques aspects du commerce lectronique , Juriscom.net, 25 janvier 2002, http://www.juriscom.net/uni/doc/20020125.pdf ; C. Manara, Achat sur un site marchand : les 'deux sous' de la jurisprudence 'horodateurs' , Juriscom.net, 15 avril 2005 suite Jur. prox. Boulogne Billancourt, 10 mars 2005, Ministre public c/ Madame X., http://www.juriscom.net/jpt/visu.php?ID=674, ( propos du paiement de parcmtres uniquement par carte Moneo).

  • 4

    Compos dexperts indpendants6, lObservatoire a opr son analyse laide de deux outils complmentaires. Tout dabord, un appel tmoignages a t mis en place et son contenu est accessible de manire permanente sur le site du Forum des droits sur l'internet. Il est destin collecter les expriences, les pratiques voire les craintes des internautes en matire de commerce lectronique. Ensuite, les membres de lObservatoire ont procd laudition de plus de quarante acteurs du paiement en ligne : institutions publiques, associations de consommateurs, banques, intermdiaires techniques et prestataires financiers7. En particulier, et en raison du caractre la fois technique et volutif de ce secteur, de trs nombreux prestataires ont t entendus.

    Les conclusions de lObservatoire sont plutt rassurantes. En effet, il apparat que de multiples techniques permettant de protger le consommateur ont t mises en uvre dans le secteur du paiement par carte bancaire sur linternet. Paralllement, de multiples solutions alternatives se sont dveloppes, particulirement ddies au paiement de petites sommes

    6 La composition de lObservatoire est disponible en annexe. 7 La liste des personnes auditionnes est disponible en annexe.

  • 5

    I Le paiement par carte bancaire sur linternet : de multiples procds garantissant une protection lacheteur

    Avec plus de 80% des paiements8, la carte bancaire demeure loutil le plus utilis sur la toile mondiale en matire dachats en ligne. Il convient de ne pas confondre le terme gnrique de carte bancaire avec celui de la carte bleue. En effet, la carte bleue est le nom commercial adopt en France par la socit responsable de lmission de produits Visa et de ladaptation de ceux-ci au rseau franais. La carte bancaire estampille carte bleue demeure le leader du march en France o elle se trouve en concurrence avec les rseaux dEuroCard et Mastercard. A Un consommateur protg face des risques identifis et juguls Les chiffres le montrent : pour 32% des internautes, les craintes en matire de scurit des paiements sur linternet constituent, encore aujourdhui, un obstacle lachat en ligne. De nombreux particuliers vivent encore avec cette angoisse lors de la saisie de leur numro de carte bancaire sur un site marchand, mme si ce chiffre a atteint en 2004 son plus bas niveau. Cette peur exprime par les internautes constitue lune des ractions la mconnaissance du rseau mondial, celui-ci pouvant tant parfois peru comme un trou noir au sein duquel ils seraient absorbs. A travers laudition de nombreux acteurs par les membres de lObservatoire mais galement grce aux contributions reues, les conclusions suivantes ont pu tre tires. 1 Linexistence du piratage de la carte bancaire sur linternet. Trois grandes familles de craintes ont pu tre dtermines : le dtournement du numro de carte bancaire loccasion dune transaction en ligne, la gnration automatique dun numro et la rcupration dun numro de carte dans la vie courante. Dans les trois cas, linquitude principale des porteurs dune carte est celle du risque financier : celui dtre victimes de retraits intempestifs sur leur compte bancaire leur causant ainsi un dommage financier.

    a) Le mythe du dtournement du numro de carte bancaire lors dun achat en ligne Premier risque peru par linternaute lors de son achat en ligne, la peur du dtournement du numro de carte bancaire est lie la nature mme de lachat sur linternet. Ds lors que linternaute ne matrise pas matriellement la ralisation de la transaction, il peut lgitimement sinterroger sur le risque dutilisation frauduleuse de son numro aprs son achat. Cette crainte pourrait sexprimer ainsi : un internaute donne son numro de carte bancaire dans un espace scuris du site marchand lors de la passation dune commande, valide le formulaire, et voit son numro tre intercept puis utilis par un pirate . Lensemble des auditions menes par lObservatoire confirme cependant quaucune interception dun numro de carte bancaire, loccasion dun achat en ligne sur un site marchand dot dun espace scurit, na eu lieu en France. En effet, ni les cyber-

    8 FEVAD, Chiffres cls de la vente distance et du e-commerce, anne 2004.

  • 6

    marchands, ni les banques, les autorits bancaires ou les services de police judiciaire nont fait part de la survenance de tels faits. Ceci sexplique par deux lments cumulatifs. Dune part, dans le schma de paiement en ligne institu en France, le cyber-marchand ne conserve que dans de trs rares occasions (cas des paiements rcurrents par exemple, enregistrement dun profil pour raliser des achats en un clic, etc.) le numro de carte bancaire ayant servi la transaction. Dautre part, le mcanisme de cryptage mis en place autour des espaces de paiement en ligne demeure trs difficilement contournable. En consquence, la crainte des internautes de voir leur numro pirat lors dun achat sur linternet nest pas fonde. Bien videmment, le consommateur devra respecter certaines prcautions comme toujours sassurer que son numro de carte bancaire lui est demand au sein dun espace scuris (ladresse du site commence alors par https au lieu de http). Autre conseil, linternaute devra veiller toujours bien slectionner son vendeur. En effet, toutes les techniques de protection, actuellement mises en place, nempcheront pas un escroc dobtenir un numro de carte bancaire du consommateur lui-mme. Ainsi, des cyber-acheteurs peuvent tre tents, face des prix relativement faibles, de passer une commande sur un site non fiable et ainsi de communiquer un tiers son numro de carte bancaire. Par ailleurs, et nous le verrons ci-aprs, certaines techniques descroquerie (phishing) recourent lenvoi de courriers lectroniques destins tromper le consommateur et obtenir directement de lui ses donnes bancaires

    b) La crainte du gnrateur automatique des numros de carte bancaire La gnration automatique dun numro de carte bancaire est un type de fraude indpendant de linternet ; nul besoin en effet pour linternaute dtre cyber-acheteur pour la rencontrer. Cette fraude repose sur des outils informatiques qui crent, la demande et de manire totalement alatoire, des numros de carte bancaire qui savrent par la suite tre associs des comptes bancaires existants, lesquels seront dbits des transactions ralises avec ces numros. Mme si ce risque nest pas li lachat en ligne, les internautes non spcialistes du secteur des nouvelles technologies font lamalgame et associent ce phnomne linternet. En tout tat de cause, il est apparu clairement lors des auditions que ce phnomne demeure marginal. Par ailleurs, les protections mises en uvre par les acteurs du secteur du paiement en ligne, et dcrites ci-aprs, permettent de juguler les risques engendrs par cette pratique dlictueuse. Enfin, linternaute victime dune telle fraude conserve la possibilit dobtenir le remboursement des sommes indment prleves.

    c) La rcupration dun numro de carte bancaire lors dun paiement de proximit Ds lors que le numro de carte bancaire ne peut tre intercept lors dune transaction en ligne, comment les escrocs peuvent-ils se procurer de telles informations ? A cette interrogation, de nombreux acteurs pointent du doigt une faille existante : le paiement de proximit. En effet, loccasion dun paiement par carte bancaire dans le monde physique, le porteur se voit remettre par le marchand un rcpiss (facturette) sur lequel figurait, auparavant, le numro complet de la carte. Suite au travail men par le GIE

  • 7

    Cartes bancaires, lACSEL et la FEVAD ce numro nest plus inscrit sur le reu dlivr au client depuis le 31 dcembre 20019. Seulement, il demeure inscrit sur les rcpisss conservs par le vendeur. En effet, cela peut lui permettre en cas de problme informatique de pouvoir ressaisir manuellement lensemble des transactions ralises par carte bancaire. La conservation dun tel document, sans protection supplmentaire, constitue lune des causes de rcupration dun numro de carte bancaire. De mme, on retrouve cette faiblesse en matire dachat par tlphone, le numro de la carte bancaire tant confi par le consommateur lui-mme un oprateur sans avoir la garantie que ce numro ne sera pas utilis dautres fins. Des enqutes judiciaires ont ainsi dmontr que des escrocs avaient collect de telles informations dans certains commerces (magasins informatiques par exemple, stations services), ralisant eux-mmes la copie de linformation ou lobtenant dun complice. Face un tel problme, de nombreux acteurs ont mis le souhait que soit lance une rflexion entre acteurs du monde de linternet, du monde physique et du milieu bancaire pour parvenir progressivement leffacement du numro de carte bancaire de tout support physique et en particulier du rcpiss conserv par le vendeur. Cette rcupration peut galement prendre dautres formes. Ainsi, un internaute a confi lObservatoire avoir vu son numro tre rcupr la suite dun achat ralis dans un magasin par un vendeur qui sest absent quelques secondes avec la carte bancaire pour en raliser une photographie. Dans ces situations, il revient au consommateur de toujours surveiller sa carte bancaire en France ou ltranger. A ce titre, on peut relever laction de sensibilisation mene par les autorits australiennes10 destination de leurs ressortissants. Parmi les nombreux conseils quelles ont avancs, on relve quelles invitent ne jamais laisser un serveur emporter la carte bancaire lors du paiement de laddition dans un restaurant. Des actions identiques de sensibilisation pourraient tre menes en France par les pouvoirs publics en complment de celles menes par les banques, tout en prenant soin de ne pas effrayer les consommateurs dans lutilisation quotidienne de leur carte bancaire. 2 Les protections labores afin de rassurer le client et lutter contre la fraude Face ces risques et interrogations, les pouvoirs publics, le secteur bancaire et les acteurs de linternet ont apport progressivement des rponses aux internautes leur permettant, dune part, de pouvoir procder un achat sur linternet sans crainte et dautre part, dtre garantis en cas de fraude.

    9 Cette mesure a t prise la suite dun protocole daccord sign entre ces trois acteurs le 10 juillet 2001. Elle faisait suite notamment un avis du Conseil national de la consommation du 23 mai 2001 sur la scurit des cartes de paiement, BOCCRF, 22 juin 2001, http://www.finances.gouv.fr/DGCCRF/boccrf/01_07/a0070005.htm 10 NSW Police launches credit card fraud ad campaign , SMH.com.au, 25 novembre 2004 http://www.smh.com.au/news/Business/NSW-Police-launches-credit-card-fraud-ad-campaign/2004/11/24/1101219611189.html

  • 8

    a) Lindemnisation du consommateur en cas de fraude Paralllement au droit communautaire11, le lgislateur franais a, tout dabord, souhait renforcer la protection du consommateur en cas de fraude la carte bancaire. Ainsi, la loi du 15 novembre 2001 sur la scurit quotidienne a modifi le Code montaire et financier en crant un mcanisme de remboursement du titulaire de la carte en cas dutilisation frauduleuse de son numro, distance et sans utilisation physique de sa carte12. Pour obtenir le remboursement du dbit frauduleux et des ventuels frais bancaires que lopration a pu engendrer13, le consommateur doit contester, par crit, le prlvement auprs de sa banque, dans le dlai de 70 jours qui suit lopration, voire 120 jours si le contrat le liant celle-ci le prvoit14. La banque sera ensuite tenue de procder au crdit du compte dans un dlai dun mois qui suit la rception de la contestation15.

    b) La mise en place du SSL contre linterception du numro La premire mesure technique mise en place a t de procder la gnralisation du protocole SSL en matire de transaction bancaire. Le SSL (Secure Socket Layer) est un protocole dvelopp par Netscape en 1996, puis adopt progressivement par lensemble des acteurs en matire de scurisation des transmissions de donnes sur la toile mondiale. Cette mesure de scurit repose sur trois leviers : lauthentification, le cryptage et lintgrit des donnes. Concernant lauthentification, un certificat numrique est associ un nom de domaine dtermin. Ce certificat est attribu aprs la ralisation par un organisme indpendant dun certain nombre de vrifications, notamment sur lidentit du demandeur. Ce certificat doit ainsi permettre de garantir aux internautes la lgitimit du site avec lequel ils souhaitent contracter.

    11 Directive 97/7/CE du Parlement europen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matire de contrats distance, JOCE L 144 du 4 juin 1997, p. 19. Son article 8 prcise, en effet, que Les tats membres veillent ce que des mesures appropries existent pour que le consommateur: 1) puisse demander l'annulation d'un paiement en cas d'utilisation frauduleuse de sa carte de paiement dans le cadre de contrats distance couverts par la prsente directive, 2) en cas d'utilisation frauduleuse, soit recrdit des sommes verses en paiement ou se les voie restitues . Cette disposition a t confirme par la directive 2002/65/CE du Parlement europen et du Conseil du 23 septembre 2002 concernant la commercialisation distance de services financiers auprs des consommateurs, et modifiant les directives 90/619/CEE du Conseil, 97/7/CE et 98/27/CE, JOCE L 271 du 9 octobre 2002, p. 16 http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri=OJ:L:2002:271:0016:0024:FR:PDF Voir galement, Etudes de lgislation compare du Snat, La scurit des transactions ralises par carte bancaire , octobre 2003 http://www.senat.fr/lc/lc125/lc125.html. 12 Article L. 132-2 du Code montaire et financier : Il ne peut tre fait opposition au paiement qu'en cas de perte, de vol ou d'utilisation frauduleuse de la carte ou des donnes lies son utilisation, de redressement ou de liquidation judiciaires du bnficiaire ; Article L. 132-4, al. 1 du mme code : La responsabilit du titulaire d'une carte mentionne l'article L. 132-1 n'est pas engage si le paiement contest a t effectu frauduleusement, distance, sans utilisation physique de sa carte . 13 Article L. 132-5 du Code montaire et financier : En cas d'utilisation frauduleuse d'une carte mentionne l'article L. 132-1, l'metteur de la carte rembourse son titulaire la totalit des frais bancaires qu'il a supports . 14 Article L. 132-6 du Code montaire et financier : Le dlai lgal pendant lequel le titulaire d'une carte de paiement ou de retrait a la possibilit de dposer une rclamation est fix soixante-dix jours compter de la date de l'opration conteste. Il peut tre prolong contractuellement, sans pouvoir dpasser cent vingt jours compter de l'opration conteste . 15 Article L. 132-4, al. 3 du Code montaire et financier : Dans les cas prvus aux deux alinas prcdents, si le titulaire de la carte conteste par crit avoir effectu un paiement ou un retrait, les sommes contestes lui sont recrdites sur son compte par l'metteur de la carte ou restitues, sans frais, au plus tard dans le dlai d'un mois compter de la rception de la contestation .

  • 9

    Le cryptage consiste rendre incomprhensible toute personne les donnes saisies ou envoyes depuis une page donne. En pratique, le SSL est destin crypter et signer les informations transmises via le protocole https . Enfin, concernant lintgrit des donnes, une fois quune connexion une page SSL est ralise, le contenu de toutes les communications envoyes vers le serveur de la banque est protg de toute manipulation. Ainsi, lorsque linternaute accde au formulaire de saisie de son numro de carte bancaire dans un espace scuris, il se situe dans un environnement o linterception de son numro demeure impossible.

    c) Leffacement total ou partiel du numro de carte bancaire lors dun achat en ligne Outre le renforcement de la scurit de la transaction au niveau du site marchand, dautres solutions ont galement t labores, principalement sous limpulsion du milieu bancaire, tendant viter la circulation du numro de carte bancaire relle lors de la passation de la commande sur linternet16.

    La cration dun numro virtuel de carte bancaire , la e-Carte Bleue La e-Carte Bleue permet au consommateur, aprs inscription ce service, de crer en temps rel un nouveau numro de carte bancaire chacune de ses transactions. Ce e-numro est valable pour un montant dtermin par le porteur et est dsactiv une fois utilis. Elle se positionne comme un outil de protection du consommateur double titre : elle vite toute rutilisation du numro en cas dinterception et elle permet au client de ne pas subir de surfacturation. Lance en avril 2002, elle est aujourdhui propose aux clients de certaines banques franaises (Socit gnrale, la Poste, Crdit Lyonnais, Groupe Banque populaire et groupe Caisse dEpargne). Dautres banques franaises proposent des produits analogues ([email protected] Card et Virtualis au Crdit mutuel) de mme que certains tablissements trangers. La e-Carte Bleue compte 30 000 transactions par semaine, 5 000 nouveaux porteurs chaque semaine et devrait atteindre les 350 000 utilisateurs la fin du mois de mars 2005. Depuis son lancement, le service a enregistr plus de 1,4 millions de transactions pour un montant total de 110 millions deuros. Afin de pouvoir utiliser la e-Carte Bleue, linternaute doit tout dabord sinscrire auprs de sa banque (soit en ligne, soit par lintermdiaire dun formulaire papier remplir). Le service est, selon les banques, gratuit ou payant (abonnement mensuel ou paiement la transaction). Une fois linscription enregistre, la banque dlivre linternaute un identifiant de 8 caractres, puis par courrier, un mot de passe de 8 caractres galement. Ensuite, pour utiliser loutil, linternaute devra soit tlcharger une application, soit se connecter sur un site ddi. Il pourra alors, grce ses codes daccs, gnrer un numro de e-Carte Bleue en indiquant le montant de la transaction, la date limite de validit de ce numro (3 mois pour un e-numro de type usage unique ) et galement prciser sil sagit dun paiement rcurrent (cas des abonnements). Dans ce dernier cas, linternaute devra prendre soin de prciser le montant total des mensualits.

    16 Cette volont avait dj t mise en avant par le Conseil national de la consommation dans son avis prcit du 23 mai 2001 qui demandait que soient dvelopps les systmes de paiement en ligne scuriss nimpliquant pas la circulation des numros de carte en ligne .

  • 10

    Une fois son numro cr, linternaute ne pourra lutiliser que sur un seul site marchand en utilisant le montant inscrit en une ou plusieurs fois. Cette carte virtuelle fonctionne galement sur les sites trangers. Lobjectif de la e-Carte Bleue est double : convaincre les internautes qui nachtent pas de franchir le pas et permettrent aux internautes qui se limitent dans leurs achats doser profiter de toutes les opportunits . Aujourdhui, la quasi-totalit des cyber-marchands accepte la e-Carte Bleue (lensemble des transactions a concern plus de 35 000 marchands). Nanmoins, certaines structures ne permettent pas dutiliser ce moyen de paiement en raison de contraintes techniques. Tel est le cas, en particulier, lorsque lobtention du bien ou du service ne peut soprer que sur prsentation physique de la carte bancaire (retrait dun billet de train rserv et pay en ligne auprs dune borne automatique, retrait de places de spectacle au guichet). Ces contraintes sont en cours de disparition : depuis le 10 mars 2005, les commandes de billets de train imprimables ou livrs domicile sont possibles sur Voyages-Sncf.com. De manire gnrale, les taux de refus de la e-Carte Bleue demeurent trs faibles. Ils sont dus principalement labsence de lindication du cryptogramme visuel cr avec le numro de carte bancaire, derreurs de saisie ou de dpassement des plafonds indiqus par linternaute. Une critique, nanmoins, demeure. En effet, certains consommateurs se plaignent du caractre souvent payant de la solution propose par leur banque alors que lgalement, il demeure protg contre les risques dutilisation frauduleuse de son numro de carte bancaire.

    Lindication partielle du numro sur linternet : le systme Sympass Sympass est une socit, cre en 2001, cherchant rpondre la rticence des internautes de confier leur numro de carte bancaire sur linternet. Elle a donc dvelopp un outil reposant sur le principe du double clavier : celui de lordinateur et celui du tlphone. Lors dun achat en ligne, linternaute saisit uniquement les 8 premiers numros de sa carte ainsi quun numro de tlphone. Il reoit alors immdiatement un appel tlphonique dun service vocal lui demandant de saisir sur son clavier tlphonique les 8 derniers chiffres. Ce systme est disponible depuis dcembre 2003 dans loffre de paiement en ligne propose par la Caisse dEpargne (offre Secret plus) et depuis la fin de lanne 2004 dans celle de Paybox (solution technique de paiement en ligne). Plus de 25 acteurs marchands franais ou trangers proposent cette solution (dont CDiscount, Interflora, Nomatica, Vivacances, Digital-Shopping), entranant lenregistrement de plus de 1200 transactions par jour. Sympass compte aujourdhui 170 000 utilisateurs uniques, objectif atteint en lespace de 20 mois avec une croissance de 20 000 nouveaux utilisateurs par mois. Suite une enqute ralise auprs dutilisateurs de la solution, il apparat que 30% des utilisateurs payaient dj auparavant par carte bancaire, les 70% restant, nayant jamais achet ou prfrant le paiement par chque. La solution offre ainsi au cyber-marchand la possibilit de rduire le nombre de transactions acquittes par chque bancaire ou postal17 mais galement de connatre une progression du nombre de clients. En effet,

    17 Un tel mode de paiement impose aux cyber-marchands de nombreuses contraintes (blocage dune partie du stock pendant un dlai indtermin, cot de traitement, etc.) sans pour autant garantir le paiement (un nombre non ngligeable de chques nest jamais envoy).

  • 11

    38% des utilisateurs y ont eu recours plus de deux fois au cours du trimestre, 20% plus de quatre fois. Concernant la fraude, la socit a indiqu lors de son audition que celle-ci tait inexistante sur ce mode de paiement. Ceci sexplique principalement par le fait que les fraudeurs ne souhaitent pas donner de numro de tlphone susceptible de les identifier.

    Le paiement par carte sans indication du numro, la solution ID Tronic de la Caisse dEpargne

    Outre la solution Secret + (qui intgre le mcanisme Sympass), la Caisse dEpargne a dvelopp un outil de paiement en ligne appel ID Tronic. Celui-ci tend rpondre une promesse faite au consommateur : acheter avec une carte bancaire sans en donner le numro. Pour pouvoir bnficier de ce service, linternaute client ou non de la Caisse dEpargne doit sinscrire (en ligne, par tlphone ou par courrier) en indiquant son RIB et ses coordonnes. Il doit galement confier un numro de tlphone portable. En pratique, lors dun achat via ID Tronic (la solution doit alors tre propose par le site marchand), lutilisateur rentre, soit le code daccs fourni lors de son inscription, soit son adresse de courrier lectronique. Un SMS lui est alors envoy sur son tlphone mobile lui indiquant un mot de passe saisir sur lcran de paiement en ligne. Le paiement sera alors confirm et lidentit de lutilisateur authentifie. Le taux de recours cet outil a reprsent en 2003, 2 millions deuros, aucune fraude et un taux dusage 10 fois suprieur celui de le-Carte Bleue (25 000 transactions enregistres par ID Tronic pour 1 500 sites). Cette solution permet galement dacheter par lensemble des sites internationaux mettant en uvre la solution 3D-Secure.

    d) Lassurance du cyber-consommateur et du cyber-vendeur Paralllement ces diverses solutions de paiement, les banques ont galement labor des mcanismes dassurance du client lors dune transaction sur linternet. Ainsi, certaines dentres elles commercialisent auprs du grand public des produits garantissant le remboursement de linternaute en cas de fraude de son numro de carte bancaire. Dautres, socits dassurance principalement, proposent aux clients finaux de garantir leurs transactions sur linternet. Tel est le cas de la socit Fia-Net qui gre aujourdhui 2 millions de transactions par an. Elle offre un double service. Cette socit assure gratuitement les internautes qui achtent sur un site tiquet Fia-Net en les remboursant des sommes indment prleves en cas dutilisation frauduleuse de leur numro de carte bancaire suite son interception lors de la transaction sur le site en question. Nanmoins, cette indemnisation na jamais t mise en uvre ds lors quaucun cas dinterception de numro de carte bancaire sur un site franais na pu tre prouve. Par ailleurs, elle demeure redondante avec les dispositions introduites par la loi sur la scurit quotidienne qui protgent le consommateur dans une telle situation. La socit a donc surtout pour vocation de protger le marchand, tenu par nature de contracter avec un client qui lui est souvent inconnu. En adhrant Fia-net, le cyber-marchand sacquitte dune cotisation calcule en fonction du chiffre daffaire et bnficie dun mcanisme de scoring de chaque transaction. Il sagit dune note base sur lanalyse de la transaction, sa nature et sur le risque que peut faire peser sur celle-ci le consommateur.

  • 12

    Si le client prsente un danger particulier, le marchand en est inform, et pourra dcider de ne pas poursuivre le processus contractuel. Si la vente a malgr tout lieu, le vendeur ne sera pas assur pour cette transaction. Dans tous les cas, linternaute conserve la possibilit dapporter la preuve de son honntet (production dune copie de documents didentit).

    e) La mise en place du contrle du cryptogramme visuel pour lutter contre la rcupration du numro lors dun paiement de proximit.

    Le 10 juillet 2001, lACSEL, la FEVAD et le GIE Cartes Bancaires ont sign un protocole d'accord dans lequel ils s'engageaient rtablir la confiance des consommateurs en garantissant la transparence et la scurit des paiements par carte bancaire afin de favoriser le dveloppement de la vente distance et du commerce lectronique. Ce texte prvoyait de gnraliser les solutions de paiement scurises notamment par carte puce et la mise en place court terme, de mesures prenant en compte les modalits de fonctionnement de la carte bancaire. En particulier, les parties sengageaient rendre oprationnel le contrle complmentaire des trois derniers chiffres mentionns au dos de la carte (cryptogramme visuel), pour toutes les cartes Visa et Mastercard, partir de l't 2002. Ce contrle est devenu obligatoire compter du 1er janvier 2004. Cette dcision faisait suite lavis du 23 mai 2001 du Conseil national de la consommation sur la scurit des cartes de paiement demandant que soient gnralises lexistence dun numro ou dun cryptogramme visuel au verso des cartes bancaires, et son utilisation pour les demandes dautorisation 18. Elle a pour effet de permettre au cyber-marchand de vrifier que lacheteur est bien en possession, physiquement, de la carte bancaire et non de son seul numro. Afin de garantir cette scurit, le GIE Cartes Bancaires interdit strictement aux marchands de conserver ce cryptogramme afin que celui-ci ne soit disponible que sur la carte bancaire. Pour autant, la communication autour de cette nouvelle protection nen demeure pas moins difficile au regard de la grande diversit de situations. Alors que les cartes Visa et Mastercard font figurer le cryptogramme au dos de la carte, dautres cartes de paiement (American Express par exemple) le font apparatre sur la face de la carte, aux cts du numro de celle-ci. Aprs plusieurs mois dutilisation, les consommateurs ont pris lhabitude de le reporter dans le formulaire de paiement et les commerants constatent une rgression de certains types de fraudes vises par son emploi. B Les consquences des mesures de scurisation du processus de paiement en ligne La fraude sur linternet existe effectivement, mais pas dans les proportions que linternaute peut simaginer. De mme, le type de fraude dont sont victimes les consommateurs et les cyber-marchands nest pas celle que le grand public se reprsente. Bien au contraire, la fraude est souvent lie des pratiques totalement extrieures linternet ou des abus pratiqus par certains internautes.

    18 Voir note n 9

  • 13

    1 La ralit de la fraude la carte bancaire sur linternet Daprs les chiffres publis19 par l'Observatoire de la scurit des cartes de paiement, plac auprs de la Banque de France, la fraude totale relative aux paiements et retraits effectus dans les systmes franais (en ligne ou de manire physique) s'est leve en 2003 273,7 millions d'euros, en hausse de 11 % par rapport 2002. Rapport au montant total des transactions effectues dans les systmes franais, ce montant de fraude reprsente un taux global de 0,086 %, contre 0,082 % en 2002. Selon ce rapport, le nombre de paiements nationaux frauduleux est de 940 000 en 2003 ; rapport au nombre total de paiements nationaux, le taux de paiements nationaux frauduleux est de 0,021%. Le montant moyen dun paiement national frauduleux se situe autour de 80 euros. Concernant spcifiquement la fraude sur linternet, il est noter que la Banque de France relve une baisse de lutilisation de numros usurps entre 2002 et 2003. Sur les 940 000 paiements frauduleux nationaux, 250 000 sont des paiements raliss distance (internet, minitel, tlphone) pour un montant total de 22,8 millions deuros. Cela a correspondu 31% du montant des paiements frauduleux nationaux en 2003 contre 34% en 2002. Ce constat de la baisse du niveau de fraude en matire de vente distance est corrobor par les chiffres publis par Fia-Net, dans le cadre de son rapport annuel analysant les sinistres subis par les cyber-marchands. La socit constate que la fraude la carte bancaire sur linternet connat son premier recul depuis lan 2000 . Par rapport 2002, elles ont diminu de 40% en volume et 57% en valeur. Pour lassureur, les fraudeurs la carte bancaire sont dsormais organiss en de vritables rseaux. 2 La ncessaire participation du cyber-consommateur la protection de son environnement numrique La fraude comme nous lavons indiqu prcdemment, demeure faible compte tenu des mcanismes labors par les divers acteurs. Seulement, cet environnement scuris a pour effet de diminuer les rflexes de linternaute alors quil fait face, dornavant, de nouvelles techniques descroquerie.

    a) Le phishing ou hameonnage Le phishing20 ou hameonnage repose toujours sur le mme principe : les fraudeurs utilisent la marque, le logo ou les couleurs dune entreprise importante afin dinciter les internautes leur confier diffrents lments didentification (numro de carte bancaire, codes daccs aux services en ligne, identifiants de connexion linternet, etc.). Souvent, pour obtenir ces informations, les fraudeurs ont recours lenvoi de messages lectroniques non sollicits, aux couleurs de l'entreprise concerne, incitant les destinataires cliquer sur un lien les redirigeant vers un site o ces informations leur sont demandes.

    19 Statistiques de fraude pour lanne 2003, complment au rapport annuel dactivit 2003, Observatoire de la scurit des cartes de paiement http://www.observatoire-cartes.fr/telechar/fraude_2003.pdf 20 Terme provenant de la contraction de fishing (pche) et de phreaking (piratage de ligne tlphonique)

  • 14

    Exemple 1 : le lien pointe vers un faux site

    Exemple 2 : ladresse apparaissant dans le courriel semble correcte, mais en fait, renvoie vers un tout autre

    site (uirowopw.com) et le message est en anglais

  • 15

    Le phnomne tait jusqu'ici cantonn aux internautes anglophones, les principales entreprises concernes par cette usurpation didentit tant de grandes socits amricaines. Les membres de lObservatoire ont constat en 2004 une augmentation importante de cas de phishing portant sur de grandes entreprises franaises : fournisseurs daccs linternet, banques franaises ou gants du commerce lectronique. La France a t, ainsi, classe au cinquime rang des pays risque en dcembre 2004 par lAnti-Phishing Working Group21. Le mois prcdent, elle tait situe au 10me rang22. En France, la raction est importante. Des plaintes ont t dposes par des particuliers ou des entreprises victimes et des poursuites judiciaires ont t intentes lencontre de particuliers franais tentant de soustraire des informations aux internautes. Une premire condamnation est intervenue le 2 septembre 2004 Paris o un tudiant strasbourgeois a t, sur le fondement de la tentative descroquerie et de laccs frauduleux dans un systme de traitement automatis de donnes, condamn 1 an de prison avec sursis et 8.500 euros de dommages intrts pour avoir usurp lidentit dune grande banque franaise23. Dsormais victimes, les entreprises franaises sorganisent. Ainsi, les banques franaises ont dvelopp des campagnes dinformation et de sensibilisation de leurs clients. Certains acteurs du commerce lectronique ont galement conu des barres doutils24 permettant linternaute de dtecter sil se trouve sur un site fiable. Pour sa part, lObservatoire de la cyber-consommation a alert en janvier 2005 les internautes de ce phnomne en dispensant quelques conseils pratiques de vigilance : 1) Ne pas cliquer sur des liens dans les courriels ; toujours aller soi-mme sur un site en saisissant son adresse internet lors de la saisie de donnes sensibles (numro de carte bancaire, identifiants personnels) ; 2) toujours vrifier, dans la barre dadresse du navigateur, ladresse du site internet avant de saisir les informations demandes ; 3) toujours partir de la page daccueil dun site pour accder aux autres pages, notamment celles o sont demandes des identifiants ; 4) lors de la consultation de sites scuriss (sites bancaires, par exemple), sassurer de lactivation du cryptage des donnes (ladresse du site doit commencer par https et non par http). Sur Internet Explorer, le navigateur le plus rpandu actuellement, en https, un cadenas apparat en bas droite de la page et en double-cliquant dessus, linternaute peut sassurer que la socit bnficiaire du certificat correspond celle du site ; 5) en cas de doute, prendre contact directement avec lentreprise concerne (votre banque, votre fournisseur daccs linternet, etc.) pour lui signaler le message suspect ou transmettre ces messages aux services anti-phishing de votre prestataire

    b) La vulnrabilit du poste client Autre situation, moins visible pour linternaute : la vulnrabilit de son poste informatique. En effet, certains pirates ont dvelopp des logiciels sinstallant sur lordinateur dun internaute et permettant de rcuprer un numro de carte bancaire lors de sa saisie, par exemple loccasion dun achat en ligne.

    21 Phishing Attack Trends Report - December 2004 http://www.antiphishing.org/APWG%20Phishing%20Activity%20Report%20-%20December%202004.pdf 22 Phishing Attack Trends Report - November 2004 http://www.antiphishing.org/APWG%20Phishing%20Activity%20Report%20-%20November%202004.pdf 23 Tribunal de grande instance de Paris, 13me Chambre, 2 septembre 2004, Ministre public, Crdit Lyonnais et Caisse nationale du Crdit agricole c/ Radhouan M. et autres http://www.foruminternet.org/documents/jurisprudence/lire.phtml?id=873 24 C. Guillemin, Des barres d'outils pour Internet Explorer et Firefox protgent du "phishing" , ZdNet, 4 janvier 2005 http://www.zdnet.fr/actualites/telecoms/0,39040748,39196431,00.htm

  • 16

    Ces keyloggers , vritables chevaux de Troie, s'implantent sur le matriel informatique dun particulier soit en mme temps quun autre logiciel non fiable, soit par la voie dun virus propag, par exemple, par courrier lectronique. Cette infection est souvent due un manque flagrant de protection de lordinateur utilis par linternaute : absence danti-virus ou non mise jour de celui-ci, non installation dun pare-feu (firewall)25. Pour contrecarrer cette lacune, certains intermdiaires assistent le consommateur dans la protection de son matriel. Ainsi, les principaux fournisseurs daccs permettent de souscrire, parfois de manire payante, une option anti-virus bloquant la rception de virus en pice jointe dun message. De mme, Microsoft offre dornavant, dans les dernires versions de son systme dexploitation Windows XP, un pare-feu intgr. Ces initiatives demeurent nanmoins limites26, et il apparat que des actions de sensibilisation doivent tre menes afin dinformer le particulier sur la vulnrabilit de son ordinateur et sur les outils disponibles sur le march pouvant renforcer la protection de son poste informatique. 3 Les difficults rencontres par les acteurs marchands dans le secteur du paiement en ligne Outre le consommateur, relativement protg, lautre victime dune fraude est le cyber-marchand. Ce dernier risque de perdre la fois le bien envoy lescroc mais galement le montant de la commande qui doit alors tre rembours linternaute ls. Au cours des auditions, il est apparu que les protections dveloppes produisaient certains dommages collatraux rsultant dune utilisation abusive des voies de droit ouvertes au consommateur ou de limitations imposes par la rglementation bancaire.

    a) La rpudiation du paiement par le client Effet ricochet de la protection institue par les dispositions de la loi du 15 novembre 2001 sur la scurit quotidienne, certains acteurs marchands se plaignent de la rpudiation abusive dun paiement opr suite un achat pourtant ralis par le client. Les dispositions du Code montaire et financier27 prcisent que lopposition un paiement ralis par carte bancaire ne peut avoir lieu quen cas de perte, de vol ou dutilisation frauduleuse de la carte ou des donnes lies son utilisation, de redressement ou de liquidation judiciaire du bnficiaire. Il apparat que certains cyber-consommateurs, en cas dinsatisfaction vis--vis dun achat en ligne (non livraison, excution non conforme du contrat, non remboursement, etc.), en contestent le paiement auprs de leur banque. Lors dauditions, des acteurs ont fait part de quelques cas dobtention dun double remboursement par le client insatisfait (suite au retour dune commande, le marchand peut oprer le remboursement du client qui paralllement lobtient galement de sa banque). Nanmoins ces cas, demeurent limits.

    25 Le pare-feu (firewall en anglais) est un logiciel permettant de protger un ordinateur des intrusions provenant notamment du rseau Internet. 26 A noter que certaines banques proposent aux clients de leurs services financiers en ligne de nouveaux mcanismes dauthentification ne ncessistant plus une saisie directe sur le clavier de leur identifiant ou de leur mot de passe : A. Garcia, Des claviers virtuels pour dfendre la banque sur Internet , 01Net, 4 avril 2005 http://www.01net.com/article/272521.html 27 Articles L. 132-2 et suivants du Code montaire et financier.

  • 17

    En outre, quelques consommateurs utilisent galement ce texte pour rompre de manire unilatrale un contrat conclu. Cette situation peut sexpliquer par un phnomne incident la dmatrialisation de la passation dun contrat de vente en ligne : le sentiment du caractre non-obligatoire dune relation contractuelle noue en ligne. En effet, lorsquun consommateur procde un achat dans un magasin non virtuel, celui-ci se sent engag en raison du phnomne dimmdiatet : paiement et rception du bien sont quasiment instantans. Sur linternet, cette instantanit demeure marginale et nexiste que pour lachat de biens numriques ou la prise dabonnement des services ligne. En revanche, lors de la commande en ligne de biens matriels, le paiement peut tre diffr par rapport la commande soit, du fait du marchand (retrait opr la date denvoi de la commande) soit, du fait du client lui-mme (non envoi du chque). Ces contraintes limitent le caractre souvent impulsif de lacte dachat et le consommateur peut trouver dans ce paiement diffr, une facult permettant de procder lannulation unilatrale du contrat. Or et dun point de vue strictement juridique, en vertu des dispositions de la loi du 21 juin 2004 pour la confiance dans lconomie numrique qui ont insr un article 1369-2 au sein du Code civil, le contrat est conclu dornavant ds lors que le consommateur a eu la possibilit de vrifier le dtail de sa commande et son prix total, et de corriger dventuelles erreurs, avant de confirmer celle-ci pour exprimer son acceptation. Linternaute entre donc dans une relation contractuelle ds cette validation dfinitive, avant mme quil indique au cyber-marchand ses donnes bancaires. Ainsi, et dfaut de paiement, un consommateur sexpose la mise en cause de sa responsabilit contractuelle permettant de rparer le prjudice subi par le cyber-marchand (immobilisation du bien par exemple). Finalement, linternet a chang lapprhension, par le consommateur, de la relation contractuelle. Lors dun engagement souscrit sur le rseau, il na plus la sensation dentrer dans un schma contraignant. Au contraire, certains internautes pensent mme avoir la possibilit de rsilier unilatralement leurs contrats aussi simplement quils lont conclu. Les exemples reus par lObservatoire de la cyber-consommation sont nombreux confirmer ce point. Tel est le cas dun internaute achetant un voyage en ligne et qui, ds le lendemain, lannule, ayant dcid de ne plus partir lendroit slectionn. On peut aussi citer le cas dinternautes souscrivant un nouveau contrat daccs linternet pour bnficier dune offre promotionnelle propose par lun des acteurs du secteur sans respecter la dure minimale de leur contrat initial ou les formalits imposes en matire de rsiliation de celui-ci. Ds lors, il est vident que ce changement de paradigme dans la conception de la relation contractuelle amne linternaute se diriger, automatiquement, vers sa banque pour obtenir un remboursement ou un blocage de la transaction alors que le droit ne le lui permet pas doprer ainsi en cas de problme purement contractuel. Un autre lment explique galement ce phnomne du recours la banque. Ds lors que lacheteur narrive pas contacter le cyber-marchand, nobtient aucune rponse ses rclamations ou sexpose des frais pour contester (service clientle accessible via un numro dappel surtax), il va naturellement se diriger vers le seul intermdiaire facilement accessible et joignable de la transaction commerciale : sa banque.

  • 18

    Ce rle plus important souhait de la banque a trouv un cho auprs des instances communautaires. En effet, la Commission europenne a envisag de fixer un nouveau cadre juridique pour les paiements dans le march intrieur lors dune communication du 2 dcembre 2003 au Conseil et au Parlement europen. Dans ce texte, les services de Bruxelles sinterrogent sur la possibilit dinstaurer une forme de responsabilit solidaire entre le prestataire de services de paiement et le commerant en cas de non-livraison dun produit (voire de non-conformit dun produit livr) . Le texte prvoit, en outre, lintroduction de rgles spcifiques de rvocabilit pour les paiements effectus dans le domaine du commerce lectronique, qui disposeraient par exemple que les paiements effectus dans le cadre de contrats de vente distance sont rvocables jusqu ce que le commerant fournisse au prestataire de services de paiement la preuve que la livraison a eu lieu . Un tel mcanisme existe, dores et dj, au Royaume-Uni, en Finlande et en Sude28.

    b) La conservation du cryptogramme visuel par les cyber-marchands Avec lindication obligatoire lors dun paiement en ligne, du cryptogramme visuel (CVV chez Visa pour Card Verification Value et CVC chez Mastercard pour Card Verification Code), certains acteurs marchands ont t confronts une problmatique nouvelle. Celle-ci intresse les cyber-marchands devant rcurer leur client, cest dire oprer un prlvement rgulier sur le compte bancaire du consommateur par lintermdiaire de son numro de carte bancaire. Tel est le cas, par exemple, de certains contrats daccs linternet ou de laccs certains services ou contenus (salons de discussions payants, archives de journaux, etc.). Dans de telles situations, le cyber-marchand est dans lobligation de procder la conservation du cryptogramme visuel afin de pouvoir le prsenter avec le numro de carte bancaire chaque mensualit. Or, les rgles imposes par le GIE Cartes bancaires, ainsi quune dlibration de la CNIL29, interdisent la conservation de ce numro. Un moratoire avait donc t institu afin de permettre ces acteurs de prsenter, lors de chaque transaction, uniquement le numro de carte bancaire non accompagn du cryptogramme qui ntait pas alors conserv. Aprs une discussion avec les acteurs du secteur, le GIE Carte Bancaires a modifi sa rglementation en la matire. Applicable ds le 1er juillet 2005, celle-ci rappelle tout dabord le principe de non conservation du cryptogramme. Ensuite, elle prcise quen matire de paiement rcurrent, deux phases sont distinguer : lors du premier paiement, ds lors que le consommateur fournit son cryptogramme, celui-ci sera adress avec les autres donnes bancaires. A partir du deuxime paiement et pour les paiements suivants, la demande dautorisation adresse par le marchand naura plus besoin de comporter le cryptogramme. Si cette mesure tente de concilier les diffrentes contraintes, elle demeure dlicate manier. Elle impose en effet aux cyber-marchands de sidentifier auprs de leur banque comme pouvant raliser des paiements rcurrents. Par ailleurs, elle impose aux prestataires bancaires de mettre en place des solutions techniques permettant de grer la double facette de la demande dautorisation selon le type de paiement opr.

    28 Selon les chiffres apports par Visa Europe, en 2003, 21% des cas de remboursement des porteurs de la carte taient fondes sur une inexcution contractuelle contre 79% pour les cas de fraude la carte bancaire. 29 Dlibration n 03-034 du 19 juin 2003 portant adoption d'une recommandation relative au stockage et lutilisation du numro de carte bancaire dans le secteur de la vente distance, http://www.cnil.fr/index.php?id=1357

  • 19

    c) Lauthentification du porteur de la carte lors dun achat distance, la logique 3D-Secure

    Compte tenu des nouveaux cas descroquerie, comme le phishing, et du fait que lensemble des gardes-fous labors ne prmunissent pas les cyber-marchands de tout type de fraude, le milieu bancaire rflchit actuellement un renforcement de la scurit dans le domaine du paiement en ligne. Lobjectif est de procder lauthentification du porteur de la carte lors de lachat30. Suite la mise en place du standard 3D Secure par Visa international, le GIE Cartes bancaires a dcid de travailler sur le dveloppement dun standard domestique : 3D-CB. Il sagit dun moyen permettant dauthentifier la fois le porteur de la carte et le commerant, en vrifiant leur identit. Ainsi, lors dune transaction en ligne, les porteurs de carte doivent confirmer leur identit laide, par exemple, dun mot de passe de la mme manire quils sauthentifie loccasion dun paiement de proximit. La banque mettrice authentifie alors le porteur de carte et confirme la banque du commerant lidentit de lacheteur. A noter le changement important en terme de responsabilit interbancaire dans le mcanisme 3D-Secure pour des transactions internationales. En effet, le marchand qui accepte une transaction via cette nouvelle norme sera dornavant garanti contre la fraude linverse de ceux qui auront toujours recours au mode de transaction faisant intervenir simplement lindication du cryptogramme visuel. La responsabilit psera donc sur la banque du porteur de la carte qui devra, en cas dimpay, supporter ce risque. Dploye par Visa et Mastercard sous les noms Verified by Visa et Secure Code, elle concerne aujourdhui plus de 55 000 cyber-marchands dans le monde dont 28 200 pour la zone Visa Europe. En France, la solution est utilise par plusieurs centaines de commerants et sera progressivement dploye au cours de lanne 2005, en priorit pour les paiements transfrontaliers. La concertation opre entre les banques et les cyber-marchands en 2004 a progressivement convaincu les acteurs de lintrt de cette solution pour anticiper les situations de fraudes aggraves dans certains secteurs particuliers31. Ct mission, plusieurs banques franaises proposent cette solution. Tel est le cas par exemple de la Caisse dEpargne avec son produit ID Tronic (authentification par mot de passe envoy par SMS) et des metteurs e-Carte Bleue/Verified by Visa (authentification par les identifiant de connexion et mot de passe indiqus pour la gnration du numro virtuel). Seulement, et les auditions lont montr, nombreux sont les acteurs (cyber-marchands mais galement banques) sopposer au dploiement de cette solution, invoquant des arguments tantt conomiques, tantt pratiques. A linverse, dautres se dclarent favorables cette solution. Cette opposition nest pas uniquement franaise, la Belgique connaissant des difficults similaires32.

    30 Cette ide avait dj vu le jour dans lavis prcit du Conseil national de la consommation du 23 mai 2001 qui demandait que soient mis en place au bnfice des commerants, en particulier dans le secteur de la vente distance, des systmes de vrification de lidentit du porteur . 31 Une telle solution pourrait ainsi avoir un intrt dans le secteur du voyage en ligne o le montant de chaque fraude constate est naturellement lev et o la ncessit dauthentification du voyageur est importante. 32 E. Wery, La Belgique adopte larchitecture 3D-Secure pour les paiements lectroniques sur linternet , Droit-technologie.org, 22 novembre 2004 : http://www.droit-technologie.org/1_2.asp?actu_id=1007

  • 20

    Les avantages de 3D-Secure en France Tout dabord, la premire argumentation met en avant les assurances apportes par cette solution en faveur du bien fond des autorisations bancaires donnes sur linternet par un acheteur. Ds lors que linternaute est identifi comme tant lorigine de la vente, il ne sera plus en mesure de contester la ralit de lachat. Ce mcanisme offre ainsi un certain rquilibrage des responsabilits entre lacheteur et le vendeur tout en limitant les abus et les impays qui y sont affrents33. Ensuite, plusieurs cyber-marchands de petite et moyenne tailles ont indiqu lObservatoire de la cyber-consommation quils seraient relativement favorables une telle solution, faute davoir les moyens dassumer les pertes rsultant des cas de fraude quils subissent ou de procder des investissements substantiels pour la souscription dun contrat dassurance ou des solutions danalyse des commandes reues. Pour eux, un tel mcanisme dauthentification de lacheteur leur permettrait de dvelopper de manire acceptable financirement leur activit commerciale sur le rseau mondial.

    Les contraintes de la mise en uvre de 3D-Secure Les craintes mises lencontre de la mise en place de cette nouvelle norme proviennent la fois de cyber-marchands et dintermdiaires impliqus dans la gestion des paiements en ligne. Du ct des principaux acteurs marchands, 3D-Secure est peru comme une solution qui risque de freiner le dveloppement du commerce lectronique en installant une barrire dans la fluidit actuelle du paiement en ligne. En effet, ds lors que linternaute devra sidentifier au pralable auprs de sa banque, le nombre de vente sur impulsion risque de diminuer. Par ailleurs, certaines banques pourraient rendre payant ce service, risquant daltrer le dynamisme du commerce lectronique. Les partisans de la solution rpliquent que linscription ne devra soprer quune seule et unique fois et donc que cet effet sestompera progressivement comme ce fut le cas lors de linstauration de lutilisation du code confidentiel pour les paiements par carte puce. Dautres acteurs craignent que toutes les banques ne veuillent pas jouer le jeu. En effet, avec la nouvelle norme, la banque du porteur de la carte sera dornavant responsable en cas de contestation de la transaction bancaire. Ainsi, afin de diminuer son implication, elle pourrait tre tente, lors de linterrogation par le cyber-marchand, de ne pas systmatiquement valider lauthentification de son client (notamment si le mcanisme choisi nest pas sans risque, comme par exemple, une simple authentification par identifiant et mot de passe statiques). En rponse, dautres acteurs mettent en avant le fait que la norme 3D-Secure ne sera dploye quavec la garantie que lensemble des acteurs du secteur bancaire jouera le jeu. Deux structures auditionnes ont galement indiqu que cette nouvelle norme ne permettra pas de rsoudre compltement la question de la fraude sur linternet. En effet, si la mthode dauthentification choisie repose sur lapparition dune pop-up 34 sur le site marchand au sein de laquelle le consommateur devra indiquer un code confidentiel attribu par sa banque, aucun systme ne permet lheure actuelle didentifier la personne gnrant cette pop-up et un risque de rcupration des mots de passe par des sites malveillants est prsent. Enfin, des solutions simples et gratuites ont pour effet de bloquer laffichage de ces pop-up (barres doutil Google, Yahoo!, option de Windows XP SP2, etc.). Cest en raison de lensemble de ces contraintes que les banques qui ont 33 Selon les chiffres communiqus par Visa lors de son audition, les taux de remboursement que le marchand doit supporter passent de 0,22% (en cas de paiement via la technologie SSL) 0,03% (pour les marchands ayant recours la technologie 3D-Secure avec authentification du consommateur). 34 Une pop-up est une nouvelle fentre du navigateur souvrant de manire automatique.

  • 21

    dployes la solution, ont plutt opt en faveur dune cration dynamique du mot de passe et une indication de celui-ci dans linterface mme de paiement. Par ailleurs, un commerant peu scrupuleux pourrait utiliser la marque 3D-Secure afin de rassurer ses clients sans leur offrir toutes les garanties qui sont dues, et entranant ainsi, une augmentation non ngligeable des litiges devant tre supports par les banques des porteurs de carte. Enfin, les intermdiaires techniques du secteur (prestataires de solution de paiement) demeurent rservs vis--vis de cette solution ds lors quelle va ncessiter de nombreux investissements. Or, ils conservent tous en mmoire les pertes engendres par de prcdentes solutions, aujourdhui abandonnes (CyberCom, CB sur mobile, e-comm). Cest pour analyser les conditions de mise en uvre de lauthentification du porteur que le GIE Cartes bancaires et les acteurs de la vente distance ont constitu un groupe de travail afin de trouver un accord permettant un dploiement de cette nouvelle norme. Seulement, et pour reprendre des propos tenus par un des acteurs auditionns, sil est facile dquiper des sites, en revanche il est plus difficile de convaincre des millions dutilisateurs .

  • 22

    II Le micro-paiement et le porte-monnaie lectroniques : deux outils alternatifs ddis au paiement de petites sommes

    A ct de la carte bancaire, linternet a vu merger de nouveaux outils permettant

    linternaute de procder au paiement de biens ou de services. Le point commun de ces outils est quils ont tous accompagn le dveloppement de produits ou de services de faible valeur sur linternet. Aujourdhui, le secteur du paiement de petites sommes, le micro-paiement, est trs diversifi : achat darticles de presse, de sonneries de portable, de logos permettant de personnaliser son tlphone, achat de morceaux musicaux sur les plates-formes payantes, de jeux en ligne, etc. Ce march est en pleine expansion. Il a reprsent, aux Etats-Unis, 1,6 milliards de dollars en 2003 et 1,8 milliards de dollars en 2004, soit une progression de 13,7%. En Europe, le chiffre daffaire atteignait, en 2003, 544 millions deuros en Europe. Les analystes estiment quil reprsentera en 2007, 5,5 milliards de dollars aux USA et 2,37 milliards deuros en Europe soit une progression de plus de 40% par an35 (due principalement aux secteurs des jeux en ligne36, de la musique ou de la vido la demande37). Avec de telles transactions particulires, les outils disponibles sont varis (outils spcifiques, recours aux modes de paiement habituels carte bancaire, chque, etc.). Nanmoins, pour certains acteurs, le recours la carte bancaire pour lachat de ces biens ou services de ce type nest pas ais. Les frais bancaires demeurent levs au regard du montant de la transaction, mme si les banques ont souhait adopter une dmarche comptitive en diminuant le montant des commissions perues vis--vis de certains contenus (plates-formes de tlchargement de fichiers musicaux par exemple). Par ailleurs, ces contenus numriques sadressent principalement un jeune public dpourvu gnralement de tout outil de paiement bancaire. En consquence, plusieurs outils ont t dvelopps pour oprer dans le secteur du micro-paiement. Il pourrait tre dfini comme le paiement dun achat de moins de 15 . Ce montant correspond, en effet, au seuil dexigibilit dune facture par le consommateur en application de larrt n 83-50/A du 3 octobre 1983 relatif la publicit des prix de tous les services38. Certains acteurs estiment que ce montant pourrait tre port jusqu 40 . Tous ces dispositifs veillent enfin rpondre aux principales caractristiques de cette forme particulire de paiement savoir la rapidit et la facilit dutilisation pour le consommateur, lanonymat relatif de lutilisateur et le faible cot pour le vendeur.

    35 Chiffres et donnes communiqus par Biz-n-Cash lors de son audition. 36 Selon Jupiter Research, le chiffre daffaire sur les seuls tlphones mobiles devrait atteindre en 2009, 6,9 milliards de dollars pour les paris sportifs, 7,9 milliards pour les loteries et 4,5 milliards pour les casinos. Cf. Paris sur le mobile , Biz-n-Cash, 7 mars 2005, http://www.biz-n-cash.fr/actualite-665.html 37 Selon lOnline Publishers Association, le premier secteur aux Etats-Unis, en 2004, est celui des sites de rencontre (469,5 millions) suivi des loisirs (dont la musique en ligne) ralisant un chiffre daffaire de 413,5 millions de dollars. Cf. Chiffres US de la vente de contenus en ligne , Biz-n-Cash, 14 mars 2005, http://www.biz-n-cash.fr/actualite-671.htm 38 Ce texte rglementaire ne vise que le cas des prestations de service qui constituent, actuellement, la quasi-totalit du march.

  • 23

    A Les outils existants en matire de paiement de petites sommes Plusieurs technologies sont actuellement prsentes sur le march franais du paiement en ligne. Elles proviennent, soit de la transposition au secteur de linternet doutil issus de la tlmatique, soit sont le fait de relles innovations. 1 Le recours des numros revenus partags Cette premire technologie recouvre un grand nombre doutils : dialers, numros audiotel ou SMS+. Elle est la transposition doutils dvelopps lorigine pour la tlmatique. En pratique, lensemble de ces systmes se rapproche du schma suivant :

    Schma : Les acteurs des numros revenus partags

    Oprateur Telecom ou mobile

    Centre Serveur

    Editeur

    Site 1 Site 2 Site 3

    Internaute

    Pour autant, le recours ces technologies demeure trs encadr. En effet, lensemble de ces services est soumis aux rgles dontologiques labores par le Conseil suprieur de la tlmatique (CST) ou valides par ce dernier (cas de la charte SMS+).

    a) Les kits de connexion ou dialers Les kits de connexion sont des outils qui servent rmunrer des contenus immatriels de faible montant avec une livraison immdiate. Les rgles dontologiques du CST limitent le recours ces outils aux cas de rmunration de contenus internet (pas dachat de biens matriels par exemple). Dans le domaine des dialers, deux catgories de produits existent : ceux renvoyant vers un numro surtax franais (Audiotel, Kiosque Micro, etc.) et ceux renvoyant vers des numros internationaux. Le kiosque micro est lun des outils disponibles en la matire. Il a t dvelopp par France Telecom et est la transposition du schma minitel linternet. Interrog par lObservatoire CyberConso, France Telecom indique que le Kiosque micro est aujourdhui un outil destin disparatre ds lors quil ny a pas eu de report du march qui existait sur le minitel vers linternet, les principaux sites tant dornavant accessibles

    Linternaute paye loprateur

    Loprateur reverse une partie de la somme au Centre Serveur, qui lui le reverse aux diteurs qui peuvent en verser une partie aux sites affilis

  • 24

    gratuitement (SNCF par exemple) et quil ne sadresse quau march du bas dbit en forte diminution. Nanmoins, certains services demeurent attachs ce mode de rmunration, et des diteurs utilisent cette solution afin de fournir des services interdits par les rgles dontologiques du Conseil suprieur de la tlmatique, comme les contenus adultes, et ce malgr les saisines et les coupures qui sensuivent. Mais finalement, lensemble des acteurs interrogs saccordent pour dire que lindustrie du kit de connexion est une industrie qui connat depuis plusieurs mois une baisse trs importante, au profit dautres mcanismes de paiement. Plusieurs lments peuvent expliquer ce phnomne : la gnralisation du haut dbit, la mise sur liste noire des kits de connexion par les logiciels anti-spyware, les supers-proxy des fournisseurs daccs linternet ou, plus rcemment, le passage du systme dexploitation phare de Microsoft une version plus scurise : Windows XP Pack SP2 (qui a pour effet de bloquer un certains nombres dapplications et en particulier la technologie ActiveX). Ainsi, en mars 2004, un des acteurs interrogs a connu une chute du temps de connexion sur son kit de lordre de 50%.

    b) Le recours des services vocaux tarification majore Il existe deux types de recours des services vocaux tarification majore. Tout dabord, ils peuvent constituer un mode dobtention dun code par le truchement dun service vocal tarification majore, permettant lutilisateur daccder un contenu numrique (service, bien immatriel comme tlchargement de sonneries, personnalisation du tlphone portable, jeux en ligne, tlchargement de logiciels, etc.). Cette forme de paiement a trouv son public ; le leader franais (Allopass) annonant devoir dlivrer prs de 2 millions de code chaque mois la fin de lanne 2005. Par ailleurs, une seconde solution existe. Dans un premier temps, linternaute relve sur le site auquel il souhaite accder, un code. Dans un deuxime temps, il appelle un service tarification majore auquel il indique ce code par lintermdiaire du clavier tlphonique, ce qui lui permet daccder la partie rserve du site tant que dure la communication avec le service tarification majore (cas par exemple de laudiotel dcroch). En France, lun des principaux acteurs est Allopass. Il propose ces divers outils de micro-paiement. Le paiement est alors factur linternaute par loprateur de tlcommunications qui reverse, aprs dduction dune commission, les sommes collectes Allopass, laquelle socit fait de mme lgard de lditeur du site. Actuellement, plus de 100 000 sites internet franais ont recours ces solutions de paiement et leur nombre ne cesse de progresser. Nanmoins, cette forme de paiement en ligne demeure relativement marginale auprs des grandes enseignes au regard du commissionnement institu (prlvement de 30% par loprateur tlphonique). Ces solutions sduisent plus les particuliers ou les petits diteurs de site la recherche dune solution de paiement facile installer.

    c) Le SMS+ Les SMS+ (SMS Premiums) permettent aux dtenteurs dun tlphone mobile soit de recevoir directement sur le mobile un contenu command par SMS surtax (logo, sonnerie, information), soit dobtenir, par retour de SMS, un code permettant daccder un contenu sur linternet (quivalent au code audiotel).

  • 25

    Ces numros sont grs par lassociation SMS+ (groupement des trois oprateurs mobiles franais et dditeurs de contenus comme lACSEL, le GESTE, etc.) qui est charge de grer les numros disponibles de manire coordonne avec l'ensemble des oprateurs mobiles et de traiter les demandes de rservation de numros courts dposes par les diteurs de services. Elle fixe galement les rgles dontologiques et les paliers tarifaires applicables chaque service. Ces dernires sinspirent fortement de celles du Conseil suprieur de la tlmatique et ont t approuves par ce dernier. Les oprateurs sont ainsi en mesure de rappeler lordre les diteurs de service et ont la possibilit dordonner la coupure du numro incrimin en cas de violation desdites rgles dontologiques. En effet, lassociation SMS+ ne gre pas le dploiement du numro attribu. En effet, il est ncessaire pour le titulaire du numro de se mettre en rapport avec chaque oprateur mobile pour la signature dun contrat, signature devant intervenir dans les trois mois sous peine de perdre le numro. Outre ces lments, le cot dattribution du numro slve 700 HT. Finalement, peu dacteurs sont rellement prsents sur le secteurs, la majorit des diteurs prfrant sous-louer leurs numros. En effet, ils nont pas forcment tous les moyens techniques de dvelopper leurs propres services et prfrent faire appel certains prestataires. Le SMS+ obit un mcanisme de six paliers tarifaires, sappliquant en fonction des services offerts. Sur les paliers les plus levs, lditeur du site ne peut demander aux utilisateurs lenvoi que dun nombre limit de SMS+ pour accder au contenu. Par exemple, sur le palier le plus cher, lditeur ne peut facturer son contenu plus de 3 euros (deux SMS+ 1,50 ). En pratique, cela signifie que lutilisateur devra envoyer deux SMS+ successifs pour rcuprer deux codes distincts quil devra, alors, saisir pour accder au contenu.

    Tranche de numro court Fourchette tarifaire TTC (hors cot du transport)

    3XXXX (Palier P3) 0,00 4XXXX (Palier P4) 0,05 5XXXX (Palier P5) 0,06 0,20 6XXXX (Palier P6) 0,21 0,35 7XXXX (Palier P7) 0,36 0,50 8XXXX (Palier P8) 0,51 1,50

    Tableau 1 : fourchettes tarifaires (source : Association SMS+)

    Paliers Tarif TTC pour le client

    (hors cot du transport) Nombre maximum de SMS envoyer pour accder au service

    P8 1,50 2 P8 1,00 3 P7 0,50 4

    Tableau 2 : Nombre maximum dchanges payants autoriss pour dlivrer lintgralit du service aux

    utilisateurs (Source : Association SMS+)

    Par ailleurs, pour les prestations dlivres directement sur le tlphone mobile, sont uniquement autoriss sur les paliers les plus levs, les services de personnalisation du mobile de lutilisateur et les services dinformation thmatique en mode micro-abonnement.

  • 26

    Concernant la dlivrance de codes daccs, les paliers les plus importants ne pourront pas tre utiliss par les sites fournissant certains services (annonces entre particuliers, annonces de rencontre et annonces demploi) Dans ce secteur, le mcanisme de reversement est le suivant : Prix pour lutilisateur (pay son oprateur) : cot du SMS standard en fonction de loprateur du client + cot du contenu surtax (en fonction du palier). Sur le prix pay par lutilisateur : Paiement de la prestation loprateur : en moyenne 30% du palier (cela varie en fonction des oprateurs et des paliers) + cot du SMS standard (varie en fonction de loprateur et de loffre souscrite par labonn) Reversement lditeur du site et au prestataire technique : en moyenne 70% du palier Lditeur supporte, en outre, le cot ventuel de la rponse par SMS (non systmatique) : 0,6/0,8 cts. Ce systme a pour effet de gnrer un taux de reversement moins important pour lditeur du site par rapport un numro audiotel. Ainsi, par exemple :

    Audiotel SMS Cot utilisateur 1,68 1,65 (0,15+1,50

    pour le palier) Reversement final pour lditeur

    1,18 0,78

    Par ailleurs, et outre son utilisation loccasion de jeux tlviss, il semble que lusage du SMS+ sur linternet pour lobtention dun mot de passe soit peu exploit. Cela tient, dune part, au fait que le taux de reversement est moins important pour lditeur quun numro audiotel classique et dautre part, au fait que peu de personnes disposent dun tlphone portable professionnel leur permettant dviter de supporter personnellement le cot de ce service. Pour autant, du ct des diteurs ayant franchi le pas, il apparat que lutilisation dune solution SMS+ permet une progression des ventes denviron 10 15% en raison de sa commodit dusage (contrairement aux mcanismes dAudiotel dcroch, il ny a pas de numro couter et inscrire, celui-ci tant directement envoy sur lcran du tlphone portable). 2 Le porte-monnaie lectronique En France, les rflexions sur un porte-monnaie lectronique sur carte puce datent du dbut des annes 90 et ont conduit au lancement de plusieurs pilotes la fin des annes 90 (Modeus, Moneo, Mondex). Pour favoriser linteroprabilit entre ces diffrents systmes, les banques ont cr en 1999 la Socit Financire du Porte-Monnaie Electronique Interbancaire (SFPMEI) pour y centraliser lmission et la garantie de la monnaie lectronique. Aprs la fusion de ces diffrents projets en un seul (Moneo), la SFPMEI a conserv ce rle. La SFPMEI est un tablissement de crdit agr par les autorits bancaires franaises. Elle est la filiale des 11 principales banques. Paralllement Moneo, des porte-monnaie totalement dmatrialiss ont vu le jour. Ces outils ne sont pas ddis exclusivement au micro-paiement. De par leur nature, les consommateurs peuvent y avoir recours pour le paiement de sommes plus importantes.

    a) Moneo : le porte monnaie lectronique sur carte puce

  • 27

    Moneo est un porte-monnaie lectronique sur carte puce destin au paiement de biens ou de services de faibles montants dans le monde physique (jusqu 30 ). Dbut 2005, il reprsente environ 1,2 millions de porte-monnaies chargs, 100 000 points de paiement installs et 400 000 paiements raliss par semaine. Avec le dveloppement du commerce lectronique, certaines banques promotrices du systme rflchissent lutilisation de Moneo pour effectuer des paiements sur linternet. Toutefois, cela imposerait au consommateur de possder un lecteur pour lire la carte. Or, depuis lchec du projet Cyber-Comm39, peu dacteurs souhaitent investir dans ce domaine. Pourtant, un tel lecteur carte pourrait constituer une externalit positive puisquil serait possible denvisager dautres usages (lecture de la carte vitale ou de la future carte didentit lectronique). Le choix dun tel systme a notamment t fait, en Suisse, par UBS qui a acquis 100.000 lecteurs pour ses clients. Dautre part, devant le succs encore limit de Moneo, les banques, dans leur majorit, ne semblent pas considrer ce domaine comme prioritaire. Concernant les paiements de faibles montants dans le monde virtuel, il existe, pour la SFPMEI, une relle attente pour une solution permettant deffectuer, partir de son compte courant bancaire, des paiements de faibles montants dans le monde virtuel (internet, tlphonie mobile). Le march de cette solution se situerait entre la carte bancaire (gros montants, authentification de lutilisateur) et les kiosques des oprateurs tlcoms (trs faibles montants). Cette solution pourrait tre tant prpaye (comme pour le porte-monnaie sur carte puce) que post-paye.

    b) Paynova : le porte-monnaie lectronique prpay Paynova est une socit fonde en Sude en 2001. Aprs une premire tape de dveloppement technologique, elle a lanc son mcanisme de micro-paiement la fin de lanne 2001. Depuis septembre 2003, elle dveloppe ses activits en dehors de la Sude (France, Allemagne, Belgique, Danemark). En France, elle a fond sa filiale en juillet 2004. Elle offre tout consommateur la possibilit douvrir un porte-monnaie virtuel pouvant tre utilis sur divers sites internet. Il devra indiquer ses nom et prnom ainsi quune adresse de courriel, puis crditer son porte-monnaie par carte bancaire. Le montant de ses achats est, initialement, limit 120 euros. Pour dpasser ce plafond, le client doit accepter une vrification par lintermdiaire dun dbit sur son compte bancaire40. Le plafond est alors port 3 000 euros. Lors de lachat sur internet, le consommateur choisira parmi les solutions de paiements proposs par le commerant, loutil Paynova. Il devra alors se connecter sur son porte-monnaie virtuel pour procder au paiement. Pour le cyber-marchand, Paynova a pour mission de collecter les sommes sans crer de masse montaire. La somme est dbite du portefeuille de lacheteur et crdite dans un compte squestre diffrent de celui de Paynova. Lintrt pour le marchand est davoir une garantie du paiement : largent est disponible dans le porte-monnaie du client, et ce dernier est authentifi lors de la transaction (solution 3D-Secure).

    39 Projet de systme de paiement en ligne reposant sur lutilisation du protocole SET mis au point par les grands metteurs internationaux de cartes en 1997. Au cours de l'anne 2000, les grands metteurs ont commenc tudier des solutions alternatives ce protocole qui a t abandonn dans le courant de l'anne 2001. En particulier, cet outil ncessitait le recours un lecteur de carte puce pour le paiement par carte bancaire sur linternet. 40 Une somme est prleve sur son compte bancaire. La transaction fait alors apparatre, dans le relev de compte, un code qui devra tre communiqu Paynova.

  • 28

    Paynova compte environ 160.000 comptes et 500 cyber-marchands en Europe. Lance officiellement sur le march franais le 1er septembre 2004, une vingtaine de marchands franais propose cette solution de micro-paiement, pas forcment de manire exclusive. Pour Paynova, ce produit sadresse principalement aux PME qui peuvent avoir des difficults convaincre les banques pour obtenir un contrat vente distance . Elle serait galement susceptible dintresser les cyber-marchands saisonniers (clubs, lobbying, associations), les spcialistes des petits prix (sonneries) et les acteurs alimentaires (pour la vente de produits franais ltranger). Enfin, il est noter que certains cyber-vendeurs sont exclus (sites de charme, jeux en ligne).

    c) Click&Buy : le porte-monnaie lectronique post-pay Prsente depuis 2002 en France via un contrat de distribution confi NetFront, la socit allemande FirstGate a fond en septembre 2004 sa filiale franaise pour offrir aux marchands et aux internautes laccs sa plateforme de paiement Click&Buy. Click&Buy fonctionne comme un outil de paiement dbit diffr : linternaute lors de son inscription fournit une seule fois ses informations bancaires, consomme les contenus et services chez les marchands puis est dbit une fois par mois du montant global de ses dpenses. Afin de couvrir les risques pris par loutil de paiement et par les marchands, un mcanisme de surveillance est mis en uvre (validation du numro de carte bancaire, demande de rservation sur le systme bancaire, interdiction dune double utilisation du mme numro de CB sans contact pralable avec le service client). Le scoring effectu lors de ladhsion de linternaute permet FirstGate de fixer le seuil dengagement maximal admissible. Si les dpenses de linternaute dpassent ce seuil, il est averti et un dbit intermdiaire est dclench auprs de sa banque en utilisant le moyen de paiement communiqu. Cette limite dengagement augmente en fonction de la fidlisation de linternaute et de labsence dincidents sur son compte Click&Buy. Elle peut aussi diminuer ds quun incident survient sur celui-ci ; tout incident provoquant le blocage temporaire du compte forant ainsi linternaute rgulariser la situation ou prendre contact avec le service clientle. En cas dimpay, le compte de linternaute est bloqu, des messages de relance lui sont envoys ; si la situation nest pas rgularise le dossier est transmis au service contentieux pour une prise de contact tlphonique voire transmission une socit de recouvrement international (cession de la crance). A noter quen France, si le systme repose actuellement sur la carte bancaire, lutilisation dautres supports de paiements est prvue. En Allemagne, le virement est trs utilis. Dans dautre pays (Royaume-Uni, Suisse), le paiement peut soprer par lintermdiaire de la facture tlphonique en raison de partenariats signs avec British Telecom et SwissCom. Les taux de reversement aux marchands oscillent entre 70 et 80% pour les micro-paiements (0,10 4,99) et entre 90 et 97% pour les macro-paiements ( partir de 5). En outre, la socit offre des services complmentaires se positionnant ainsi au niveau international comme une plate-forme scurise dintermdiation commerciale . Aujourdhui la socit affiche 4,8 millions dutilisateurs dans le monde. Si les premiers marchands ont t principalement des sites de presse en ligne (La Tribune, les Echos en France, Financial Times en Angleterre, ), dautres grandes entreprises dans la vente de contenus et de services sur Internet ont adopt cette solution au niveau international

  • 29

    (BetandWin, AstroCenter, Gameloft, PlayBoy, OD2, MSN Music, Symantec, ). Environ 3500 marchands dans le monde utilisent Click&Buy. La tenue des comptes (marchand et internaute) est faite dans lune des sept devises gre par Click&Buy (Euro, livre sterling, franc suisse, dollar amricain, couronne norvgienne, couronne danoise et couronne sudoise) et le roaming des internautes effectuant leurs achats en devise est gr automatiquement par le moteur de change de loutil. 3 Le paiement par courrier lectronique Dans le secteur du paiement par courrier lectronique, plusieurs acteurs sont prsents en France. Ce systme tend devenir la norme en matire de paiements raliss entre particuliers, notamment loccasion dachats raliss sur les sites de vente aux enchres 41 noffrant pas doutils intgrs de ce type.

    a) Visa Direct Lanc en Europe lt 2004, Visa Direct est loutil dvelopp par Visa pour les virements entre particuliers. Cet outil permet aux utilisateurs denvoyer de largent aux porteurs de carte Visa. Visa Direct a t lanc afin de faciliter les paiements transfrontires de faible montant entre les particuliers. Pour effectuer un virement, lexpditeur peut utiliser diffrents canaux (internet, agence bancaire, banque domicile). Plusieurs moyens de transferts sont possibles tels que ladresse de courrier lectronique ou le numro de compte du bnficiaire. La somme vire est alors directement verse sur le compte courant du bnficiaire. Ce service peut tre mis en place par les banques qui souhaitent le proposer ses clients. Depuis fin 2004, cinq banques europennes proposent le service Visa Direct leurs clients dont Carta Si en Italie, BBVA en Espagne et Corner Banca en Suisse. De nombreuses autres banques tudient actuellement les opportunits de lancement courant 2005.

    b) Paypal PayPal est une solution de paiements en ligne et une filiale de eBay Inc. En Europe, PayPal Europe Limited sest constitue au Royaume-Uni o les autorits bancaires (FSA) lui ont accord une licence ELMI (Electronic Money Institution) en application de la directive du 18 septembre 2000 (2000/46/CE)42. PayPal a ensuite demand le passeport de cette licence dans la plupart des pays de la Communaut europenne. En France, le passeport lui a t agrment en avril 2004 par le Comit des tablissements de crdit et des entreprises dinvestissement (CECEI). PayPal compte aujourdhui 64 millions dutilisateurs travers le monde ; en France, PayPal acquiert environ 20 000 nouveaux utilisateurs par semaine, et aux Etats-Unis, un internaute sur trois possde un compte PayPal. En 2004, PayPal a trait 18,4 milliards de dollars de volumes de paiement. La simplicit dutilisation et la scurit quoffre ce

    41 Le terme usuel utilis pour dsigner ces plates-formes est celui de ventes aux enchres . Juridiquement, il convient de parler de courtage en ligne sous formes denchres , les ventes aux enchres tant soumises un rgime juridique particulier (article L. 321-1 et suivants du Code du commerce). 42 Directive 2000/46/CE du Parlement europen et du Conseil du 18 septembre 2000 concernant l'accs l'activit des tablissements de monnaie lectronique et son exercice ainsi que la surveillance prudentielle de ces tablissements, JOCE n L 275 du 27 octobre 2000, p. 39. http://europa.eu.int/eur-lex/pri/fr/oj/dat/2000/l_275/l_27520001027fr00390043.pdf

  • 30

    moyen de paiement expliquent son succs tant sur eBay que sur dautres sites marchands : Louverture de compte ne prend quelques minutes et est gratuite, les vendeurs nont pas accs aux coordonnes bancaires de lacheteur, et PayPal renforce la scurit et la traabilit des transactions car il se substitue aux paiements par chques, mandats et en espce. Sur eBay, sous certaines conditions, les acheteurs bnficient aussi gratuitement de la Protection des acheteurs PayPal , qui les protge contre la non-rception des objets ou lorsque ceux-ci ne sont pas livrs dans ltat dcrit par le vendeur, hauteur de trois transactions par an pour une valeur maximale de 400 par transaction. PayPal est un metteur de monnaie lectronique et non une banque, et noffre donc pas en consquence de cartes bancaires, de compte rmunr, ou autres services financiers. En France, lutilisateur peut approvisionner sa transaction PayPal au moment de payer son achat, et sa carte bancaire est alors dbite du montant, qui est ensuite crdit sur le compte PayPal du vendeur quasi-instantanment. Le vendeur, qui reoit largent, a le choix entre conserver la somme sur son compte PayPal ou la faire virer sur son compte bancaire (virement gratuit pour les sommes suprieures 100 ). En pratique, la majorit des vendeurs procdent ce virement : les soldes des comptes demeurent faibles. Par ailleurs, pass un certain solde, PayPal adresse le message suivant ses utilisateurs : Sachez que votre solde de compte reprsente une crance chirographaire Europe Limited auprs de PayPal, qu'il existe un risque pour ce solde en cas d'insolvabilit de PayPal Europe Limited et qu