Le paiement en ligne : sécurisation juridique et technique

-

Livres
302 pages
Lire un extrait
Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

Description

Le commerce électronique a déjà conquis des parts de marché sur le commerce traditionnel mais c'est la confiance, notamment dans le paiement en ligne, qui lui permettra de conforter son développement. Le paiement électronique fait l'objet d'un cadre juridique spécifique tant au niveau national qu'européen. Dès lors, la connaissance et l'application de ces textes sont désormais indispensables à tous les acteurs du commerce électronique. Ce livre permet de répondre de manière pragmatique et approfondie aux questions inhérentes à la mise en oeuvre pratique du paiement en ligne : Quels sont les instruments de paiement disponibles aujourd'hui ? Quelles règles encadrent l'émission de moyens de paiement (carte bancaire, monnaie électronique) ? Comment créer et conserver la preuve du paiement ? Quels sont les procédés techniques de sécurisation (EDI, signature électronique ou biométrique) ? Comment concilier la protection des mineurs et le marché des sites pour adultes ? Quelles sont les obligations en matière de protection du consommateur ou de conservation des données bancaires ? À quels tiers de confiance le commerçant peut-il recourir ?
Introduction. Les instruments de paiement électronique. Chapitre 1. L'utilisation de moyens de paiement matériels. Chapitre 2. L'utilisation de moyens de paiement logiciels. La preuve du paiement en ligne. Chapitre 3. Création de la preuve du paiement en ligne. Chapitre 4. Pérennité de la preuve du paiement en ligne. Les instruments numériques de sécurisation du paiement en ligne. Chapitre 5. La sécurisation des paiements effectués par EDI. Chapitre 6. La sécurisation de la transmission de l'ordre de paiement. Chapitre 7. Le paiement sécurisé par signature électronique. Les instruments biométriques de sécurisation du paiement en ligne. Chapitre 8. Le développement de systèmes biométriques d'identification. Chapitre 9. Cadre juridique applicable à la signature biométrique. La mise à disposition de moyens de paiement. Chapitre 10. Les organes de contrôle des systèmes et moyens de paiement. Chapitre 11. Les dispositions relatives à la monnaie électronique. Chapitre 12. Le paiement en ligne par carte bancaire. Dispositions protectrices du consommateur lors d'un paiement en ligne. Chapitre 13. Champ d'application de la protection. Chapitre 14. L'obligation d'information. Chapitre 15. Le droit de rétractation. Chapitre 16. Obligations relatives au paiement en ligne. Réglementation des infractions relatives au paiement et à la protection des données de la carte bancaire. Chapitre 17. Répression pénale des infractions relatives aux moyens de paiement. Chapitre 18. Protection des données liées à l'utilisation de la carte de paiement. Le recours à des tiers de confiance. Chapitre 19. Les sceaux et labels de certification relatifs à la sécurisation des paiements en ligne. Chapitre 20. Le recours à l'assurance des paiements en ligne. Bibliographie. Index.

Sujets

Informations

Publié par
Date de parution 12 avril 2005
Nombre de lectures 230
EAN13 9782746226111
Licence : Tous droits réservés
Langue Français

Informations légales : prix de location à la page €. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.

Signaler un problème
INTRODUCTION
1 Selon Marie Curie , « dans la vie, rien nest à craindre, tout est à comprendre ». Dès lors, pourquoi le fait de payer sur les réseaux inquiète-t-il encore aujourdhui à 2 3 une époque où les relations de travail, les rapports avec ladministration , les 4 correspondances  tendent tous à se dématérialiser ?
Peut-être parce que, dans la conscience collective, être trop confiant est souvent source de dommages. En effet, accorder sa confiance à quelquun qui ne la mérite pas peut avoir de lourdes conséquences, tant morales que patrimoniales, ce qui explique dailleurs que labus de confiance soit une infraction pénale.
Dautre part, il est entendu que lhomme doit être raisonnable, faire preuve de prudence. Ainsi en matière dassurance, laisser sa porte ouverte est une imprudence qui constitue une faute qui privera lassuré de son droit à indemnisation en cas de vol. Mais surtout en matière de paiement, le titulaire de moyens de paiement est contractuellement tenu de prendre garde à leurs conservation. Ainsi, le porteur ayant lobligation dassurer la sécurité de sa carte de paiement et de son code confidentiel, le fait de prêter sa carte ou de sen déposséder, de communiquer son code secret, de linscrire sur la carte ou de le composer à la vue de tous pourra dès lors être considéré par les tribunaux comme un acte de négligence constituant une faute lourde. Dans ce cas le titulaire de la carte supportera intégralement la perte subie avant opposition.
1. Curie M., chimiste française, Prix Nobel de physique en 1903 puis de chimie en 1911, (1867-1934). 2. Développement du télétravail. 3. Télédéclaration et Télépaiement. 4. SMS, courriel
16 Le paiement en ligne
Au demeurant, une contradiction apparaît immédiatement. En effet, alors que depuis des dizaines dannées, les mêmes consignes de sécurité et de vigilance en matière de moyens de paiement sont assénées au porteur, on lui demande aujourdhui dêtre moins craintif et de communiquer son numéro de carte bancaire à un cyber-commerçant qui na peut-être pas de boutique dans le monde réel, avec lequel il na encore jamais eu de relations commerciales et qui fermera peut-être ses portes (ou plus vraisemblablement son site internet) demain. Et tout cela, sur un réseau ouvert où sévissent des cyber-délinquants qui mettent à mal notamment la sécurité du réseau et la confidentialité des données transmises.
A lheure ou le paiement devient électronique, on demande donc aux internautes dêtre suffisamment méfiants pour ne pas faire le jeu des escrocs, tout en étant raisonnablement confiant pour permettre à ce nouveau marché de croître.
On comprend dès lors que le commerce électronique ait eu beaucoup de mal à démarrer. Dautant que les moyens de paiement sur les réseaux induisent de nombreux risques dinsécurité.
En effet, dans un monde dématérialisé différents éléments concourent à laccroissement des risques encourus du fait de la délinquance informatique. Les risques résultent, bien sur, de lexplosion de la micro-informatique et de laugmentation de la technicité qui conduit les entreprises à faire appel à des informaticiens de plus en plus spécialisés. Mais cest surtout la décentralisation et linterconnexion des systèmes qui sont au cur des plus grands dangers.
Plus le nombre dordinateurs qui se connectent au serveur est important plus il y a de possibilités dintrusions car il est bien plus difficile de sécuriser un ensemble dordinateur quun seul poste informatique. De plus linterconnexion des réseaux dentreprises locaux avec des réseaux nationaux ou internationaux publics (internet) ou privés (SWIFT) augmente les occasions de diffusion de fichiers dangereux (virus, vers, espiongiciels) et les possibilités dintrusion du système.
Pour créer la confiance des internautes il convient de sécuriser au mieux le système dinformation, et pour ce faire, il faut prendre en compte les différents risques auxquels le système sexpose.
Ainsi, la sécurité dun système dinformation sanalyse selon plusieurs critères essentiels, lauthentification, lintégrité, la pérennité et la confidentialité :  lors dune transaction en ligne en matière civile, le site doit pouvoir authentifier celui qui se connecte, cette mission étant réalisée depuis la Loi du 13 mars 2000 par la combinaison de la signature et du certificat électronique ;
Introduction 17
 il est également important de garantir aux parties que le contrat ou la transaction en ligne nont pas été modifiés. Dès lors, lintégrité des données est garantie par lapposition de la signature électronique. Précisons également que cette intégrité doit être maintenue dans le temps, les informations devant demeurer non seulement exactes mais surtout accessibles aux personnes autorisées ;  le secret de linformation transmise doit être garanti. Cette exigence de confidentialité se justifiant par la nécessité de protéger les données personnelles (n° de CB, n° de compte, montant de lachat). Seul le personnel autorisé doit être en mesure daccéder aux informations.
Dautre part le système dinformation est exposé à 3 principales catégories de risques, les risques naturels, les risques techniques et les risques inhérents au facteur humain :  les risques naturels, considérés comme assez rare doivent être pris en compte lors de linstallation sur site, du système dinformation. Il conviendra ainsi de se prémunir contre les risques dinondation, de tremblement de terre, de foudre qui pourraient endommager le système. En effet, lintégrité des données relatives au paiement, tout comme leur pérennité, est altérée dès lors que le support de transmission est défaillant ;  les risques techniques sont relatifs au fonctionnement des moyens matériels. En effet un mauvais entretien des lignes du réseau, des serveurs peut entraîner des pannes causant des dégâts irrémédiables aux données transmises ou stockées. Comme en matière de risques naturels, lintégrité et la pérennité des informations sont en danger ;  les risques inhérents au facteur humain peuvent être non fautifs ou au contraire frauduleux. Tout comme les risques naturels ou techniques, les comportements humains non fautifs, tels que les erreurs de programmation et de saisie, les négligences peuvent avoir de lourdes conséquences sur le système dinformation. Dautres comportements visant les protocoles de communication, les systèmes et les applications standards ou les informations peuvent au contraire être frauduleux. Il existe ainsi deux types dattaques, les « attaques actives ou passives ». Les attaques passives résultent de la simple écoute des données. Ce cyber-voyeurisme porte atteinte à la confidentialité du système dinformation mais également à la protection 5 des données personnelles objet du traitement . Quant aux attaques actives elles résultent du vol ; de la destruction de données ; du fait de retarder la transmission ; de la modification du document, de sa date ou de lidentité de lexpéditeur
5. Breton J.-M.,Une société sans papier ? Nouvelles technologies de linformation et droit de la preuve, Intégrité de linformation, Paris, Notes et études documentaires, La Documentation française, 1990, p. 225.
18 Le paiement en ligne
Cest pour cette raison quil convient de mettre en uvre une politique de sensibilisation, de tous les personnels des multiples entités qui interviennent comme opérateurs du cyber-commerce (cyber-marchand,call-centers, tiers archiveur), sur les aspects sécuritaires et les risques dattaques des systèmes dinformation.
Dès lors quun employé est mis en contact avec des données sensibles telles que le numéro de carte bancaire des clients, il est utile non seulement de choisir au mieux le personnel qui va avoir accès à ces données, mais également de définir des règles de travail garantissant la sécurité. Ainsi nombre de paiements en ligne passent par exemple par descall-centers, dès lors, le règlement intérieur ou le contrat de travail pourraient prévoir des dispositions spécifiques pour la protection des données bancaires des clients. Ces dispositions sécuritaires pourraient notamment disposer que les salariés nauront pas accès (ou auront accès de manière restreinte) durant leur activité professionnelle, au réseau dentreprise ou internet, à certains supports (papier, PDA, téléphone, GSM) ou à des clients de messagerie qui pourraient leurs permettre de conserver, de communiquer ou dimprimer ces données. Tous les périphériques de sauvegarde (graveur CD-Rom, lecteurs de disquettes, les clés USB) devront également être désactivés.
Malgré tout, le commerce électronique représente un vaste marché qui commence enfin à se développer grâce notamment aux efforts législatifs réalisés ces dernières années et à limplication des professionnels du monde numérique. Il convient dès lors de consolider cette évolution, qui passe nécessairement par la création de la confiance dans le paiement électronique. Car comme aurait pu dire er Monsieur de La Palice au temps de François 1 : « Sans paiement point de commerce ».
De cette analyse il ressort donc que la sécurisation du paiement et des moyens de paiement en ligne est nécessaire et incombe aux professionnels désireux de créer un climat de confiance dans le paiement électronique qui soit satisfaisant. Dès lors ils ont a leur disposition des moyens tant techniques que juridiques touchant à des domaines très variés.
Il convient donc deffectuer une approche large de cette question dactualité qui nécessite une analyse pragmatique enrichie dexemples concrets. Pour ce faire nous avons divisé notre étude en 8 Parties représentant autant de domaines à connaître et utiliser pour offrir une solution de paiement en ligne satisfaisante et sure.
Tout dabord, nous démontrerons que bien quun grand nombre de contenus ne pouvait jusquà présent accéder au schéma payant (journaux en ligne, comparateurs de prix), il en va autrement aujourdhui car la grande variété des instruments de paiement électroniques disponibles, mais encore mal connus, permet désormais les micro-paiement (première partie).
Introduction 19
Cependant, cette évolution rapide des techniques transactionnelles est venue modifier dans le même temps le mode de preuve du paiement électronique et sa conservation (archivage électronique) (deuxième partie).
Dès lors, les risques inhérents au paiement en ligne identifiés, les cyber-commerçants peuvent recourir à des dispositifs de sécurisations numériques garantissant lidentification des parties, voir leur capacité juridique notamment en matière de sites pour adultes, (EDI, sécurisation de la transmission, signature électronique et cryptologie) (troisième partie).
Mais à côté de ces techniques numériques, ils peuvent également opter pour des dispositifs de sécurisation biométriques dont lémergence nouvelle amène son lot de questions quant à la mise en uvre dun processus de signature biométrique respectueux de la protection de la vie privée et des données personnelles (quatrième partie).
Toutefois régler les questions de sécurité technique ne saurait suffire pour créer la confiance dans le paiement en ligne, cest pourquoi le législateur est intervenu pour réglementer la mise à disposition de moyens de paiement notamment électronique et préciser le rôle des organes de surveillance (cinquième partie).
Bien que lintroduction des nouvelles technologies offre plus de choix au consommateur, qui peut ainsi comparer les offres et opter pour différents procédés de passation de commandes, il nen demeure pas moins pour le législateur que le cyber-consommateur se retrouve dans une situation dinfériorité par rapport au marchand contrairement à ce qui se passe lors dune vente en face à face. Cest pourquoi le législateur est venu instaurer des dispositions protectrices du cyber-consommateur notamment en imposant au cyber-marchand une obligation dinformation renforcée (sixième partie).
Bien évidemment de nombreuses sanctions pénales trouvent à sappliquer à lopération de paiement en ligne et particulièrement dans le cadre de la protection des systèmes de traitement automatisées de données liées au paiement et des données relatives à la carte bancaire (septième partie).
Enfin, à côté de lalliance de la technique avec le droit, les professionnels eux aussi se sont mobilisés ce qui a donné naissance à de nouveaux professionnels de la confiance : labels, assureurs Cependant si leur existence est nécessaire leur efficacité peut être sujette à caution si ces professionnels se développent en marge de la loi (huitième partie).