LE PAIEMENT EN LIGNE - adij.fr · Cathie-Rosalie JOLY Docteur en droit – avocat Directrice du...
Transcript of LE PAIEMENT EN LIGNE - adij.fr · Cathie-Rosalie JOLY Docteur en droit – avocat Directrice du...
Cathie-Rosalie JOLYDocteur en droit – avocat
Directrice du site d’information juridique NJuris.comAuteur de l’ouvrage « Paiement en ligne: aspects juridiques et
techniques » paru aux éditions Hermes Sciences [email protected]
LE PAIEMENT EN LIGNE :L’état du droit face à la technique
Les Mardis de l’ADIJMaison du barreau le 4 juillet 2006
Plan
L’offre technique disponibleProcédés de paiement en ligneProcédés de sécurisation du paiement en ligne
Le droit applicable aux différents acteursProtection du porteurObligations incombant au cyber-marchandStatut des fournisseurs de moyens de paiement
L’OFFRE TECHNIQUE DISPONIBLE
Divers procédés de paiement en ligne• Moyens de paiement matériels• Moyens de paiement logiciels• Recours à des intermédiaires
Divers procédés de sécurisation du paiement• Sécurisation de la transmission des données• Sécurisation de la transaction• Conservation des justificatifs de la transaction
Les divers procédés de paiementLes moyens de paiement matériels
Lecteurs de cartes à puce (TPE)Associé à un ordinateurTéléphone portable bi-fenteTélévision à péageMinitel
Calculatrices générant un numéro à usage unique Sep-WalletToken
Cartes prépayées Carte prépayée à gratterCarte prépayée sur CD-Rom
Carte à puce sonorePorte monnaie électronique matériel
Les divers procédés de paiement (suite)
Les moyens de paiement logicielsPorte monnaie électronique virtuelChèque électroniqueNuméro à 16 chiffres de la carte bancaire
Utilisation du numéro apparentCVD
CourrielBanque à domicileSystème Kiosque
Recours à des intermédiaires agrégateurs (w-HA)
Divers procédés de sécurisation du paiement
Sécurisation de la transmission des données (Confidentialité)
Transfert des données bancaires (SSL/SET)Transfert des données couplé à un TPE (SET)
Sécurisation de la transaction (Authentification & Intégrité)
3D-Secure de VISA = Liability ShiftSignature électroniqueBiométrie
Conservation de la preuve de la transaction (Pérennité)
Client Commerçant
Banqueclient
Serveur de contrôle d’accès Annuaire
Banquemarchand
Plug-in
Opérations réalisées dans le cadre du système 3D Secure
Retour au système d’autorisation CB classique
Mise en œuvre du système 3D-Secure
6
5
2
3
8
7
1
4
Signature électroniqueLoi 13 mars 2000 : Reconnaissance juridique
Présomption de fiabilité du procédé de signatureL’article 2 du décret du 30 mars 2001 : « la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié »
Dispositif sécurisé de création de signatureDoit garantir que la confidentialité des données de création est assurée et qu’elles ne peuvent pas être établies plus d’une fois ni être trouvées par déduction, que le signataire peut les protéger contre toute utilisation par des tiers
Ne doit entraîner aucune altération du contenu de l'acte à signer ni faire obstacle à ce que le signataire en ait une connaissance exacte de l’acte avant de le signer.
Certification de la signature électroniqueDécret n° 2001-272 du 30 mars 2001 définit le certificat électronique comme « un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire ».
Identification biométrique
Fonctionnement
Autorisation préalable de la CNIL art 25-1-8° de la loi « informatique et libertés » modifiée en 2004
Position de la CNIL fondée sur :Le type de donnéesLe mode de stockage et de sécurisation des gabaritsLes besoins de sécurité
Conservation de la preuve de la transaction
Appliquer les exigences de la preuve électronique àl’archivage
Garantir l’identification des parties et l’intégrité de l’autorisation Garantir la lisibilité et l’intelligibilité
Mise en place d’un chemin de preuve assurant la traçabilitédes différentes interventions
Mise en œuvre de l’archivageArchivage interneArchivage externe
LE DROIT APPLICABLE AUX ACTEURS DU PAIEMENT EN LIGNE
Protection du porteur• France / Europe
Obligations incombant au cyber-marchand• En vertu du contrat fournisseur• En application du droit des données personnelles
Statut des fournisseurs de moyens de paiement électroniques
• France / Europe
Protection du PorteurFrance : Protection du porteur de carte bancaire
Le régime est fonction du fait qu’il y a (ou pas) utilisation physique
Avec utilisation physique de la carte (art. L 132-3 cmf)
Principe : Plafond de 150 € avant opposition Après opposition absence de responsabilité
Exceptions : Faute lourde et Opposition tardive
Forme de l’opposition : téléphone, fax, minitel…
Protection du Porteur en France (suite)
Sans utilisation physique de la carte (art. L 132-2 cmf)
Données liées à l’utilisation de la CB / carte contrefaite
Droit au remboursement de l’opération et des frais engagés
Forme de la contestation : Par écrit dans un délai de 70 à120 jours à compter de l’opération contestée
Europe : Protection du porteur d’instruments de paiement électronique
Recommandation 97/489Vol ou perte de l’instrument de paiement
150 € avant opposition / complet remboursement aprèsException : négligence extrêmement frauduleuse
Absence de responsabilité du porteurPas de présentation physique de l’instrument de paiementPas d’identification électronique
Critique du régime FrançaisRéduit le périmètre de protection
Protection du Porteur (suite)
Obligations incombant au cyber-marchand
Du fait du Contrat fournisseur VAD
Lors du paiement par carte bancaire
Vérifier les informations fournies par le client
Vérifier la commande auprès du client
Au delà du seuil fixé dans le contrat, demander l’autorisation de sa banque
Assurer le confidentialité des données liées au paiement
Demander la signature du client au delà de 800 €
Obligations incombant au cyber-marchand (suite)
Après le paiement
Conserver et transmettre à sa banque les justificatifs de l’opération de paiement
Demander la présentation de la CB du client lors de la livraison
Autoriser expressément la Banque à le débiter de toute opération contestée
Obligations incombant au cyber-marchand (suite)
Du fait de la protection des données personnelles
Déclaration des opérations portant sur les données CB
Conservation des données CB dans le respect des finalités
Conservation des données aux fins de paiement« Le délai légal pendant lequel le titulaire d’une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date de l’opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours à compter de l’opération contestée ».
Utilisation des données comme identifiant commercial
Recommandations de la CNIL
Sanctions : art. 226-20 cp
Obligations incombant au cyber-marchand (suite)
Obligation de sécurité des données CB
Obligation de moyens Crypter les donnéesUtiliser des « firewall »Installer des antivirusUtiliser des mots de passeContrôler l’accès aux locaux de l’entrepriseSensibiliser le personnel…
Délégation de la mission de sécurisation des données
Obligations incombant au cyber-marchand (suite)
Sanction du manquement à l’obligation de sécurité
5 ans d’emprisonnement et 300 000 € (art 226-17 cp)
Principe de proportionnalité
Risques de mises en cause élevés en théorie
Peu de poursuites faute d’information
Remarque : Obligation de sécurité et délit relatif à un STAD
Statut des fournisseurs de moyens de paiement
Émission de moyens de paiement en France
Établissements émetteurs
Établissement de crédit (art. L 511-1 cmf)
« les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque au sens de l'article L. 311-1.
Les opérations de banque comprennent la réception de fonds du public, les opérations de crédit, ainsi que la mise à la disposition de la clientèle ou la gestion de moyens de paiement .
Sont considérés comme moyens de paiement tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé »
Statut des fournisseurs de moyens de paiement (suite)
Établissement de monnaie électronique
L’établissement de monnaie électronique est un établissement limitant son activité à l’émission, la mise à disposition du public ou la gestion de monnaie électronique.
La monnaie électronique est composée d’unités de valeur, dites unités de monnaie électronique. Chacune constitue un titre de créance incorporé dans un instrument électronique et accepté comme moyen de paiement par des tiers autres que l’émetteur. La monnaie électronique étant émise contre la remise de fonds pour une valeur ne pouvant excéder celle des fonds reçus en contrepartie .
Statut des fournisseurs de moyens de paiement (suite)
Le passeport européen : l’agrément
Deuxième directive bancaire du 15 décembre 1989 : Ouverture du marché unique des services bancaires par la mise en place d’un agrément unique : « Passeport européen »
Agrément délivré par le Comité des Établissements de crédit et des entreprises d’investissements
Établissement de crédit
Établissement de monnaie électronique
CECEI peut exempter d’agrément (L 111-7 cmf)
« une entreprise exerçant toute activité de mise à disposition ou de gestion de moyens de paiement lorsque ceux-ci ne sont acceptés que :
- par des sociétés qui sont liées à cette entreprise
- ou par un nombre limité d'entreprises qui se distinguent clairement par le fait qu'elles se trouvent dans les mêmes locaux ou dans une zone géographique restreinte ou par leur étroite relation financière ou commerciale avec l'établissement émetteur, notamment sous la forme d'un dispositif de commercialisation ou de distribution commun. »
Statut des fournisseurs de moyens de paiement (suite)
Statut des fournisseurs de moyens de paiement (suite)
Émission de moyens de paiement en Europe
Établissements émetteurs
Établissement de crédit
L’article 1er alinéa 1 de la directive 2000/12/CE du 20 mars 2000 définit l’établissement de crédit comme étant « une entreprise dont l’activité consiste àrecevoir du public des dépôts ou d’autres fonds remboursables et à octroyer des crédits pour son propre compte »
Établissement de monnaie électronique
L’article 1er point 3 (a) de la directive 2000/46/CE définit l’établissement de monnaie électronique comme étant une entreprise ou toute autre personne morale, autre qu’un établissement de crédit, qui émet des moyens de paiement sous la forme de monnaie électronique.
Établissement financier
Article 1er alinéa 5 de la directive 2000/12/CE,« établissement financier : une entreprise, autre qu’un établissement de crédit, dont l’activité principale consiste à prendre des participations ou à exercer une ou plusieurs activités visées aux points 2 à 12 de la liste figurant à l’annexe 1.(…) 4) opérations de paiement ;
5)émission et gestion de moyens de paiement ».
Statut des fournisseurs de moyens de paiement (suite)
Statut des fournisseurs de moyens de paiement (suite)
Critique du régime français
L’offre de services de paiement non électronique entraîne la qualification d’établissement de crédit
Limite la libre prestation des services de paiement dans le marché intérieur
Proposition de Directive « services de paiement dans le marché intérieur » : mise en place d’un cadre harmonisé
Créer une 4e catégorie de prestataires de services de paiement «les établissements de paiement»
Les conditions d’octroi et de maintien de l’agrément en tant qu’établissement de paiement devraient inclure des exigences prudentielles proportionnées aux risques opérationnels et financiers
Les fonds des clients devraient être séparés des fonds employés par les établissements de paiement aux fins d’autres activités commerciales.
Les établissements de paiement devraient être soumis à des exigences appropriées en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme.
Statut des fournisseurs de moyens de paiement (suite)
Responsabilité de l’utilisateur
Avant notification : les opérations restent à sa charge mais de manière plafonnée (150 €)
Après notification du vol ou de la perte : déchargé de sa responsabilité
Si son instrument de vérification des paiements n’a pas été perdu ni volé, l’utilisateur ne devrait supporter aucune conséquence financière d’une utilisation non autorisée.
Délai d’exécution des paiements : J+1 pour les virements sans conversion de devises, et par défaut pour tout autre paiement en l’absence de stipulation contractuelle.
Statut des fournisseurs de moyens de paiement (suite)
Statut des fournisseurs de moyens de paiement (suite)
Mise en place d’un régime transitoire (article 80)
« les États membres autorisent les personnes, y compris les établissements financiers au sens de la directive 2000/12/CE, qui ont commencé à exercer l’activité d’établissement de paiement telle que prévue dans la présente directive, conformément à la législation nationale en vigueur avant le [ date d’entrée en vigueur de la directive ], à poursuivre cette activité dans l’État membre concerné pendant 18 mois au maximum après la date indiquée àl’article 85, paragraphe 1, premier alinéa. »
Cathie-Rosalie JOLYDocteur en droit - avocat
Directrice du site d’information juridique NJuris.comAuteur de l’ouvrage « Paiement en ligne: aspects juridiques et
techniques » paru aux éditions Hermes Sciences [email protected]
-Merci pour votre attention -
LE PAIEMENT EN LIGNE :L’état du droit face à la technique