M-PAYMENT et CONTACT LESS : QUELS ENJEUX JURIDIQUES ?

EBG – Le contact Less et les nouveaux services en mobilitéUniversité Paris Dauphine le 29 mai 2007

M-PAYMENT et CONTACT LESS :QUELS ENJEUX JURIDIQUES ?

Cathie-Rosalie JOLY Avocat au barreau de Paris - Docteur en droit

[email protected]


Quels sont les défis juridiques pour permettre le développement du m-paiement et du paiement sans contact ?

L’absence d’harmonisation : frein au développement ? Perspectives européennes pour les opérateurs de paiement via

mobiles ?

Quels sont les risques juridiques liés au développement du paiement sans contact ?

Utilisation frauduleuse du mobile, qui supporte les risques ? Quels risques pour les données ? (loi informatique et libertés)

M-Payment & Contact LessQuels enjeux juridiques?


Quels sont les défis juridiques pour permettre le développement du

m-paiement & du paiement sans contact ?

L’absence d’harmonisation : frein au développement ?

Perspectives européennes pour les opérateurs de paiement via mobile ?


Qui peut émettre ou gérer des moyens de paiement pour mobile?

Moyen de paiement: concerne tous les instruments qui, quel que soit leur support ou le procédé technique utilisé, permettent à toute personne de transférer des fonds.

Selon le droit européen harmonisé :

Établissement de crédit : « une entreprise dont l'activité consiste à recevoir du public des dépôts ou d'autres fonds remboursables et à octroyer des crédits pour son propre compte ». Passeport européen OK

Établissement de monnaie électronique : « une entreprise ou toute autre personne morale, autre qu'un établissement de crédit (…), qui émet des moyens de paiement sous la forme de monnaie électronique » Passeport européen OK e-monnaie

Établissement financier : « une entreprise, autre qu'un établissement de crédit, dont l'activité principale consiste à prendre des participations ou à exercer une ou plusieurs activités parmi lesquelles figurent : (…) Opérations de paiement ;Emission et gestion de moyen de paiement. Passeport européen sous conditions: Filiale Etablt Crédit.

L’absence d’harmonisation : frein au développement ?


Selon le droit français :

Établissement de crédit : « Les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque ».

PB : Constituent des « opérations de banque » (L. 311-1 CMF) :• La réception de fonds du public • Les opérations de crédit • La mise à la disposition de la clientèle ou la gestion de moyens de paiement

Établissement de monnaie électronique

Entreprise exemptée d’agrément par le CECEI (L. 511-7 CMF) : lorsque les moyens de paiement ne sont acceptés que : - par un nombre limité d’entreprises ;- qui se distinguent clairement par le fait qu’elles se trouvent dans les mêmes locaux ou dans une zone géographique restreinte ;- ou par leur étroite relation financière ou commerciale avec l’établissement émetteur, notamment sous la forme d’un dispositif de commercialisation ou de distribution commun.


En pratique quels choix pour les opérateurs de paiement pour mobiles ?

Etablir des partenariats avec les banques

Cadre juridique financièrement et organisationnellement trop contraignant pour les entreprises françaises qui disposent pourtant d’un savoir-faire

Les opérateurs étrangers qui exercent cette activité librement dans leur pays d’origine se plaignent des difficultés rencontrées pour percer le marché français

Subir le droit bancaire français

Essayer de bénéficier d’une exemption d’agrément : Carte prépayée ou «porte-monnaie électronique » utilisés pour obtenir du temps de communication auprès de l’opérateur qui les a émis.

Obtenir le statut d’établissement de monnaie électronique : Carte prépayée utilisée pour acheter des produits et services autres que des communications classiques, proposés par des tiers («négociants») et non par les opérateurs de téléphonie mobile eux-mêmes. (exemple : messageries vocales, sonneries, informations, films vidéo, jeux, services de billetterie…)


Pratiquer l’exode légal à l’étranger

Invoquer les traités fondateurs contre les règles nationales

Principes européens : liberté d’établissement : Mener une activité économique de manière stable et

continue dans un ou plusieurs Etats membres. libre prestation de services : Offrir ses services de manière temporaire dans

un autre Etat membre, sans devoir y être établi.

Moyen d’opposition contre les règles nationales : discriminatoires ou indistinctement applicables aux opérateurs nationaux et

étrangers A condition qu’elles gênent ou rendent moins attrayant l’exercice de cette

liberté fondamentale (ex. coûts ou retards supplémentaires).

Mise en oeuvre

La législation nationale l’emporte si les restrictions sont justifiées : Par des raisons impérieuses d’intérêt général, (ex : raisons d’ordre public, de

sécurité publique ou de santé publique, Et si elles sont proportionnées

Opter pour la libre prestation de services à partir de pays plus favorables


Présentation générale du SEPA (Single Euro Payment Area)

Coordination entre le secteur Privé et le secteur Public

La proposition de Directive concernant les services de paiement dans le marché intérieur (publiée en décembre 2005, adoptée le 24 Avril 2007 en deuxième lecture au Parlement européen)

Création du statut d’établissement de paiement

6 Catégories de prestataires de services de paiement (art.1) Les établissements de crédit Les établissements de monnaie électronique (…)

Les établissements de paiement : personnes morales qui ont obtenu un agrément les autorisant à fournir et à exécuter des services de paiement dans toute la Communauté

Va permettre à des opérateurs alternatifs de proposer des paiements via téléphone mobile (opérateurs de téléphonie mobile, grande distribution, etc…) ce qui va compléter l’offre du marché voir concurrencer les banques

Perspectives européennes pour les opérateurs de paiement pour mobiles ?


Agrément en qualité d’établissement de paiement

Est subordonné à la soumission, aux autorités compétentes de l’État membre d’origine, d’une demande écrite accompagnée de divers documents…

Obligations relatives aux fonds reçus : Interdiction de les utiliser pour d’autres activités commerciales obligation de maintenir les fonds reçus de leurs ≠ activités sur des Comptes

séparés

Capital minimum exigé varie en fonction des activités exercées (art.5ter): 20 000 (remise de fonds) à 125 000 euros (émission, services retrait/dépôt d’espèces

sur un compte de paiement, crédit…)

Limitation des activités des établissements de paiement : services de paiement, services opérationnels services auxiliaires aux services de paiement (services de change, services de

conservation, de stockage et de traitement de données…) octroi de crédits liés aux services de paiement (maxi douze mois).


Dispositions dérogatoires

Exonération possible des petits établissements de paiement : volume total des opérations de paiement exécutées ne dépassant pas en moyenne 3

millions d’euros par mois au cours des douze mois précédents.

Exemption possible des instruments utilisés principalement pour le paiement de petits montants: - opérations de paiement particulières n'excédant pas 30 euros - ou qui, soit ont un plafond de dépenses de 150 euros, soit stockent des fonds dont le montant n'excède à aucun moment 150 euros

Mise en place d’un régime transitoire (art.80) :

Les États membres autorisent les personnes, y compris les établissements financiers au sens de la directive 2000/12/CE, qui ont commencé à exercer l’activité d’établissement de paiement telle que prévue dans la présente directive, conformément à la législation nationale en vigueur avant la date d’entrée en vigueur de la directive, à poursuivre cette activité dans l’État membre concerné pendant 18 mois au maximum.

Obligation des Etats membres de ne pas adopter, pendant la période transitoire, des dispositions susceptibles de compromettre sérieusement le résultat prescrit par la directive

(Arrêt CJCE du 14 Septembre 2006- C-138/05, Rec. p. I-8339-cf. point 48, disp.2)


Quels sont les risques juridiques liés au développement du paiement sans contact ?

Utilisation frauduleuse du mobile, qui supporte les risques ?

Quels risques pour les données ? (loi informatique et libertés)


La preuve du consentement de l’utilisateur ?

Le client présente sa carte ou son mobile devant le lecteur et une animation lumineuse/signalSonore atteste de la reconnaissance du support. Selon le montant, il peut être invité à saisir uncode.

Si l’utilisateur saisit un code secret = identification du porteur Si l’utilisateur ne saisit pas de code = Pb : Seul le support est identifié

Les dispositions de la DSP concernant le consentement de l’utilisateur

Donné avant ou après l’exécution du paiement, pour une opération ou une série.

Forme du consentement et de la notification choisie par accord entre les parties. Il peut notamment être transmis au moyen de tout dispositif de télécommunication, numérique ou informatique.

L’utilisateur doit signaler dans les meilleurs délais toute opération non autorisée ou mal exécutée, et au plus tard dans les treize mois suivant la date de débit (art. 47 bis)

Utilisation frauduleuse du mobile, qui supporte les risques ?


Les dispositions de la DSP en matière de preuve (art.48)

Si le Payeur nie avoir autorisé une opération, le PSP doit prouver que l’opération a été authentifiée, enregistrée, comptabilisée et n’a pas été affectée par une déficience technique ou tout autre dysfonctionnement => inversion de la charge de la preuve

L'utilisation d'un instrument de paiement, telle qu'enregistrée par le prestataire de services de paiement, ne suffit pas nécessairement en tant que telle à prouver que l'opération de paiement a été autorisée par le donneur d'ordre ou que celui-ci a agi frauduleusement ou n'a pas satisfait, intentionnellement ou à la suite d'une négligence grave

Conséquences sur le partage des risques ?

Recommandation européenne 97/489

Vol ou perte de l’instrument de paiement : 150 € avant opposition complet remboursement après opposition Exception : négligence extrêmement frauduleuse

Absence de responsabilité du porteur si : Pas de présentation physique de l’instrument de paiement ou Pas d’identification électronique


Partage de responsabilités selon le projet la directive services de paiement

Pertes liées à l’utilisation d’un instrument de vérification des paiements perdu/volé

Avant notification par le Payé : plafond de 150 € à la charge de l’utilisateur (voire moins selon l’Etat membre) sauf fraude ou négligence grave de l’utilisateur

Après notification par le Payé : à la charge du PSP sauf agissement frauduleux

Si le PSP ne fournit pas à tout moment des moyens de notifier la perte/vol ou le détournement, c’est le PSP qui est responsable

Pertes liées à une Opération de paiement non autorisée PSP rembourse immédiatement le montant éventuellement indemnisation financière


Les Systèmes de paiement sans contact présentent des risques potentiels d’atteinte à la vieprivée par la collecte d’informations sur les individus, à leur insu.

Nature de l’opération et des données transmises

La transmission d’informations financières ou d’identification lors de la transaction représente « un traitement de données à caractère personnel »

Selon la CNIL, les Puces RFID sont des identifiants personnels et donc rentrent dans la définition de données à caractère personnel (Avis CNIL- 30 juin 2006)

Application de la loi informatique et libertés

Formalités déclaratives auprès de la CNIL

Obligation d’information des personnes concernées par le traitement, respect de leur droit d’accès, de rectification et d’opposition

Obligations de sécurité et de confidentialité (atteinte au STAD)

Respect de la finalité du traitement et durée de conservation : Le paiement

Quels risques pour les données ?


&Question

s Réponses

Cathie-Rosalie JOLY - Avocat au barreau de Paris et Docteur en droitCabinet ULYS (Paris-Bruxelles), [email protected] , www.ulys.net

Pour en savoir plus :Larcier 2007Me WERY Etienne

Documents

M-PAYMENT et CONTACT LESS : QUELS ENJEUX JURIDIQUES ?