Le commerce électronique a déjà conquis des parts de marché sur le commerce traditionnel mais c'est la confiance, notamment dans le paiement en ligne, qui lui permettra de conforter son développement. Le paiement électronique fait l'objet d'un cadre juridique spécifique tant au niveau national qu'européen. Dès lors, la connaissance et l'application de ces textes sont désormais indispensables à tous les acteurs du commerce électronique. Ce livre permet de répondre de manière pragmatique et approfondie aux questions inhérentes à la mise en oeuvre pratique du paiement en ligne : Quels sont les instruments de paiement disponibles aujourd'hui ? Quelles règles encadrent l'émission de moyens de paiement (carte bancaire, monnaie électronique) ? Comment créer et conserver la preuve du paiement ? Quels sont les procédés techniques de sécurisation (EDI, signature électronique ou biométrique) ? Comment concilier la protection des mineurs et le marché des sites pour adultes ? Quelles sont les obligations en matière de protection du consommateur ou de conservation des données bancaires ? À quels tiers de confiance le commerçant peut-il recourir ? Introduction. Les instruments de paiement électronique. Chapitre 1. L'utilisation de moyens de paiement matériels. Chapitre 2. L'utilisation de moyens de paiement logiciels. La preuve du paiement en ligne. Chapitre 3. Création de la preuve du paiement en ligne. Chapitre 4. Pérennité de la preuve du paiement en ligne. Les instruments numériques de sécurisation du paiement en ligne. Chapitre 5. La sécurisation des paiements effectués par EDI. Chapitre 6. La sécurisation de la transmission de l'ordre de paiement. Chapitre 7. Le paiement sécurisé par signature électronique. Les instruments biométriques de sécurisation du paiement en ligne. Chapitre 8. Le développement de systèmes biométriques d'identification. Chapitre 9. Cadre juridique applicable à la signature biométrique. La mise à disposition de moyens de paiement. Chapitre 10. Les organes de contrôle des systèmes et moyens de paiement. Chapitre 11. Les dispositions relatives à la monnaie électronique. Chapitre 12. Le paiement en ligne par carte bancaire. Dispositions protectrices du consommateur lors d'un paiement en ligne. Chapitre 13. Champ d'application de la protection. Chapitre 14. L'obligation d'information. Chapitre 15. Le droit de rétractation. Chapitre 16. Obligations relatives au paiement en ligne. Réglementation des infractions relatives au paiement et à la protection des données de la carte bancaire. Chapitre 17. Répression pénale des infractions relatives aux moyens de paiement. Chapitre 18. Protection des données liées à l'utilisation de la carte de paiement. Le recours à des tiers de confiance. Chapitre 19. Les sceaux et labels de certification relatifs à la sécurisation des paiements en ligne. Chapitre 20. Le recours à l'assurance des paiements en ligne. Bibliographie. Index.
Informations légales : prix de location à la page 0,0525€. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.
Extrait
INTRODUCTION
1 Selon Marie Curie , « dans la vie, rien nest à craindre, tout est à comprendre ». Dès lors, pourquoi le fait de payer sur les réseaux inquiète-t-il encore aujourdhui à 2 3 une époque où les relations de travail, les rapports avec ladministration , les 4 correspondances tendent tous à se dématérialiser ?
Peut-être parce que, dans la conscience collective, être trop confiant est souvent source de dommages. En effet, accorder sa confiance à quelquun qui ne la mérite pas peut avoir de lourdes conséquences, tant morales que patrimoniales, ce qui explique dailleurs que labus de confiance soit une infraction pénale.
Dautre part, il est entendu que lhomme doit être raisonnable, faire preuve de prudence. Ainsi en matière dassurance, laisser sa porte ouverte est une imprudence qui constitue une faute qui privera lassuré de son droit à indemnisation en cas de vol. Mais surtout en matière de paiement, le titulaire de moyens de paiement est contractuellement tenu de prendre garde à leurs conservation. Ainsi, le porteur ayant lobligation dassurer la sécurité de sa carte de paiement et de son code confidentiel, le fait de prêter sa carte ou de sen déposséder, de communiquer son code secret, de linscrire sur la carte ou de le composer à la vue de tous pourra dès lors être considéré par les tribunaux comme un acte de négligence constituant une faute lourde. Dans ce cas le titulaire de la carte supportera intégralement la perte subie avant opposition.
1. Curie M., chimiste française, Prix Nobel de physique en 1903 puis de chimie en 1911, (1867-1934). 2. Développement du télétravail. 3. Télédéclaration et Télépaiement. 4. SMS, courriel
16 Le paiement en ligne
Au demeurant, une contradiction apparaît immédiatement. En effet, alors que depuis des dizaines dannées, les mêmes consignes de sécurité et de vigilance en matière de moyens de paiement sont assénées au porteur, on lui demande aujourdhui dêtre moins craintif et de communiquer son numéro de carte bancaire à un cyber-commerçant qui na peut-être pas de boutique dans le monde réel, avec lequel il na encore jamais eu de relations commerciales et qui fermera peut-être ses portes (ou plus vraisemblablement son site internet) demain. Et tout cela, sur un réseau ouvert où sévissent des cyber-délinquants qui mettent à mal notamment la sécurité du réseau et la confidentialité des données transmises.
A lheure ou le paiement devient électronique, on demande donc aux internautes dêtre suffisamment méfiants pour ne pas faire le jeu des escrocs, tout en étant raisonnablement confiant pour permettre à ce nouveau marché de croître.
On comprend dès lors que le commerce électronique ait eu beaucoup de mal à démarrer. Dautant que les moyens de paiement sur les réseaux induisent de nombreux risques dinsécurité.
En effet, dans un monde dématérialisé différents éléments concourent à laccroissement des risques encourus du fait de la délinquance informatique. Les risques résultent, bien sur, de lexplosion de la micro-informatique et de laugmentation de la technicité qui conduit les entreprises à faire appel à des informaticiens de plus en plus spécialisés. Mais cest surtout la décentralisation et linterconnexion des systèmes qui sont au cur des plus grands dangers.
Plus le nombre dordinateurs qui se connectent au serveur est important plus il y a de possibilités dintrusions car il est bien plus difficile de sécuriser un ensemble dordinateur quun seul poste informatique. De plus linterconnexion des réseaux dentreprises locaux avec des réseaux nationaux ou internationaux publics (internet) ou privés (SWIFT) augmente les occasions de diffusion de fichiers dangereux (virus, vers, espiongiciels) et les possibilités dintrusion du système.
Pour créer la confiance des internautes il convient de sécuriser au mieux le système dinformation, et pour ce faire, il faut prendre en compte les différents risques auxquels le système sexpose.
Ainsi, la sécurité dun système dinformation sanalyse selon plusieurs critères essentiels, lauthentification, lintégrité, la pérennité et la confidentialité : lors dune transaction en ligne en matière civile, le site doit pouvoir authentifier celui qui se connecte, cette mission étant réalisée depuis la Loi du 13 mars 2000 par la combinaison de la signature et du certificat électronique ;
Introduction 17
il est également important de garantir aux parties que le contrat ou la transaction en ligne nont pas été modifiés. Dès lors, lintégrité des données est garantie par lapposition de la signature électronique. Précisons également que cette intégrité doit être maintenue dans le temps, les informations devant demeurer non seulement exactes mais surtout accessibles aux personnes autorisées ; le secret de linformation transmise doit être garanti. Cette exigence de confidentialité se justifiant par la nécessité de protéger les données personnelles (n° de CB, n° de compte, montant de lachat). Seul le personnel autorisé doit être en mesure daccéder aux informations.
Dautre part le système dinformation est exposé à 3 principales catégories de risques, les risques naturels, les risques techniques et les risques inhérents au facteur humain : les risques naturels, considérés comme assez rare doivent être pris en compte lors de linstallation sur site, du système dinformation. Il conviendra ainsi de se prémunir contre les risques dinondation, de tremblement de terre, de foudre qui pourraient endommager le système. En effet, lintégrité des données relatives au paiement, tout comme leur pérennité, est altérée dès lors que le support de transmission est défaillant ; les risques techniques sont relatifs au fonctionnement des moyens matériels. En effet un mauvais entretien des lignes du réseau, des serveurs peut entraîner des pannes causant des dégâts irrémédiables aux données transmises ou stockées. Comme en matière de risques naturels, lintégrité et la pérennité des informations sont en danger ; les risques inhérents au facteur humain peuvent être non fautifs ou au contraire frauduleux. Tout comme les risques naturels ou techniques, les comportements humains non fautifs, tels que les erreurs de programmation et de saisie, les négligences peuvent avoir de lourdes conséquences sur le système dinformation. Dautres comportements visant les protocoles de communication, les systèmes et les applications standards ou les informations peuvent au contraire être frauduleux. Il existe ainsi deux types dattaques, les « attaques actives ou passives ». Les attaques passives résultent de la simple écoute des données. Ce cyber-voyeurisme porte atteinte à la confidentialité du système dinformation mais également à la protection 5 des données personnelles objet du traitement . Quant aux attaques actives elles résultent du vol ; de la destruction de données ; du fait de retarder la transmission ; de la modification du document, de sa date ou de lidentité de lexpéditeur
5. Breton J.-M.,Une société sans papier ? Nouvelles technologies de linformation et droit de la preuve, Intégrité de linformation, Paris, Notes et études documentaires, La Documentation française, 1990, p. 225.
18 Le paiement en ligne
Cest pour cette raison quil convient de mettre en uvre une politique de sensibilisation, de tous les personnels des multiples entités qui interviennent comme opérateurs du cyber-commerce (cyber-marchand,call-centers, tiers archiveur), sur les aspects sécuritaires et les risques dattaques des systèmes dinformation.
Dès lors quun employé est mis en contact avec des données sensibles telles que le numéro de carte bancaire des clients, il est utile non seulement de choisir au mieux le personnel qui va avoir accès à ces données, mais également de définir des règles de travail garantissant la sécurité. Ainsi nombre de paiements en ligne passent par exemple par descall-centers, dès lors, le règlement intérieur ou le contrat de travail pourraient prévoir des dispositions spécifiques pour la protection des données bancaires des clients. Ces dispositions sécuritaires pourraient notamment disposer que les salariés nauront pas accès (ou auront accès de manière restreinte) durant leur activité professionnelle, au réseau dentreprise ou internet, à certains supports (papier, PDA, téléphone, GSM) ou à des clients de messagerie qui pourraient leurs permettre de conserver, de communiquer ou dimprimer ces données. Tous les périphériques de sauvegarde (graveur CD-Rom, lecteurs de disquettes, les clés USB) devront également être désactivés.
Malgré tout, le commerce électronique représente un vaste marché qui commence enfin à se développer grâce notamment aux efforts législatifs réalisés ces dernières années et à limplication des professionnels du monde numérique. Il convient dès lors de consolider cette évolution, qui passe nécessairement par la création de la confiance dans le paiement électronique. Car comme aurait pu dire er Monsieur de La Palice au temps de François 1 : « Sans paiement point de commerce ».
De cette analyse il ressort donc que la sécurisation du paiement et des moyens de paiement en ligne est nécessaire et incombe aux professionnels désireux de créer un climat de confiance dans le paiement électronique qui soit satisfaisant. Dès lors ils ont a leur disposition des moyens tant techniques que juridiques touchant à des domaines très variés.
Il convient donc deffectuer une approche large de cette question dactualité qui nécessite une analyse pragmatique enrichie dexemples concrets. Pour ce faire nous avons divisé notre étude en 8 Parties représentant autant de domaines à connaître et utiliser pour offrir une solution de paiement en ligne satisfaisante et sure.
Tout dabord, nous démontrerons que bien quun grand nombre de contenus ne pouvait jusquà présent accéder au schéma payant (journaux en ligne, comparateurs de prix), il en va autrement aujourdhui car la grande variété des instruments de paiement électroniques disponibles, mais encore mal connus, permet désormais les micro-paiement (première partie).
Introduction 19
Cependant, cette évolution rapide des techniques transactionnelles est venue modifier dans le même temps le mode de preuve du paiement électronique et sa conservation (archivage électronique) (deuxième partie).
Dès lors, les risques inhérents au paiement en ligne identifiés, les cyber-commerçants peuvent recourir à des dispositifs de sécurisations numériques garantissant lidentification des parties, voir leur capacité juridique notamment en matière de sites pour adultes, (EDI, sécurisation de la transmission, signature électronique et cryptologie) (troisième partie).
Mais à côté de ces techniques numériques, ils peuvent également opter pour des dispositifs de sécurisation biométriques dont lémergence nouvelle amène son lot de questions quant à la mise en uvre dun processus de signature biométrique respectueux de la protection de la vie privée et des données personnelles (quatrième partie).
Toutefois régler les questions de sécurité technique ne saurait suffire pour créer la confiance dans le paiement en ligne, cest pourquoi le législateur est intervenu pour réglementer la mise à disposition de moyens de paiement notamment électronique et préciser le rôle des organes de surveillance (cinquième partie).
Bien que lintroduction des nouvelles technologies offre plus de choix au consommateur, qui peut ainsi comparer les offres et opter pour différents procédés de passation de commandes, il nen demeure pas moins pour le législateur que le cyber-consommateur se retrouve dans une situation dinfériorité par rapport au marchand contrairement à ce qui se passe lors dune vente en face à face. Cest pourquoi le législateur est venu instaurer des dispositions protectrices du cyber-consommateur notamment en imposant au cyber-marchand une obligation dinformation renforcée (sixième partie).
Bien évidemment de nombreuses sanctions pénales trouvent à sappliquer à lopération de paiement en ligne et particulièrement dans le cadre de la protection des systèmes de traitement automatisées de données liées au paiement et des données relatives à la carte bancaire (septième partie).
Enfin, à côté de lalliance de la technique avec le droit, les professionnels eux aussi se sont mobilisés ce qui a donné naissance à de nouveaux professionnels de la confiance : labels, assureurs Cependant si leur existence est nécessaire leur efficacité peut être sujette à caution si ces professionnels se développent en marge de la loi (huitième partie).