flux RSS
Cyberconsommation.N°20 : Le mode de paiement est-il sécuritaire ?
La confiance est un élément essentiel au bon fonctionnement du commerce électronique. Le commerçant devrait informer de façon claire et complète le consommateur des mécansimes mis en place pour assurer la sécurité des paiements.
"Le paiement électronique" : équivaut à effectuer le processus de paiement par le biais du réseau Internet. S ’il s’agit de contenu électronique, le client peut recevoir sur le champ les biens/services commandés.
Quand on parle de sécurité, il faut assurer, entre autre :
* L’ identification de l’émetteur
* La non-répudiation des messages
* La conservation sécuritaire des données échangées
* La non-divulgation des donnés confidentielles
Or, il arrive bien souvent que le commerçant ne précise pas quelle est sa politique sécuritaire dans le domaine des paiements. La plupart du temps, l’énoncé en clair du numéro de la carte de crédit sera demandé pour compléter l’achat. On voit bien que ce système est fragile et dangereux. Les acteurs du commerce électronique ont-ils une obligation de sécurité à respecter en matière de paiement ?
Problèmes connexes :
* Le contrat fait-il état de façon précise des modalités de protection des renseignements personnels ?
* Votre identité a-t-elle été volée ?
Voir également les outils de certification et de cryptage des données.
Au Québec, les obligations varient selon les intervenants et selon le type de paiement.
La carte de crédit est le moyen de paiement sur Internet le plus répandu.
• Banque ou émetteur de carte. Obligation d’archiver vos données financières de façon sécuritaire, ce qui est généralement le cas.
• Consommateur. Le régime des cartes de crédit est généralement doté d’un système d’assurance, tel que cela apparaît aux articles 123 et 124 de la Loi sur la protection du consommateur qui prévoit qu’une franchise d’un maximum de 50$ peut être prévue. Néanmoins, ceci ne vaut que s’il est prouvé que le titulaire de la carte (c’est-à-dire le consommateur) a agit avec diligence pour dénoncer la perte ou la corruption de la carte. Il importe donc de ne pas perdre de temps pour contacter votre émetteur de carte. Le problème reste toutefois entier lorsque le numéro de la carte de crédit a été utilisé frauduleusement sans que la carte n’ait été volée ou perdue.
• Commerçant. Concernant un commerçant qui dispose d’un site Internet, il n’existe pas, au meilleure de notre connaissance, d’obligation formelle à ce que la transmission des informations inscrites par le consommateur soit effectuée d’une manière sécuritaire. L’une des rares références que l’on peut identifier est la norme établie par le Bureau de la consommation : "Code canadien de pratiques pour la protection des consommateurs dans le commerce électronique " (2004). Ce code n’a toutefois pas d’effet contraignant.
Le droit français en la matière est essentiellement d’inspiration européenne.
• Directive 97/7 sur les contrats à distance
• Communication 2001/66 relative au commerce électronique et aux services financiers
• Communication 2002/208 consacre le désir d’un cadre juridique global contraignant en matière de paiement électronique
• Communication 2002/263 relative à e-Europe 2005 : une société de l’information pour tous
Les textes européens traitant de façon expresse cette problématique n’ont aucune valeur contraignante. Toutefois, certaines directives abordent de façon indirecte la question des paiements électroniques.
• Directive européenne sur les virements transfrontaliers 97/5/CE
• Directive concernant les emmeteurs de monnaie électronique 2000/46/CE
• Directive sur la commercialisation à distance des services financiers 2002/65/CE
Selon l’article 57-2 du décret-loi du 30 octobre 1935 (remanié en 1991), le paiement électronique n’est révocable qu’en cas de perte ou de vol. Toutefois, il est admis en pratique qu’un tel paiement sera révocable dans le cas où le paiement aura eu lieu par seule communication de numéro de la carte : article L132-4 et L 132-5 du Code monétaire et financier
Cour de Cassation, Chambre commerciale, 2004-06-23, 02-15547, (Publié au bulletin)
Le paiement étant intervenu à distance, sans utilisation physique de la carte ni saisie du code confidentiel, il en résulte pour la banque l’obligation d’annuler le débit qui était contesté.
Conseils pour le commerçant :
* Le commerçant devrait prévoir, avant l’envoie des données, un lien vers une page expliquant la méthode de transmission des données que le site utilise. La plus répandue étant SSL (Secure Socket Layer).
* De plus, le commerçant devrait aviser le consommateur avant toute transaction du mode d’entreposage des données.
* Le cas échéant, les sceaux de conformité doivent être explicités.
* Dans l´attente de la mise en place de procédés techniques permettant d´identifier de manière infaillible l´acheteur, le vendeur se voit contraint de supporter le risque d´une utilisation frauduleuse des cartes bancaires utilisées sur son site.
La solution réside dans la constitution d´un preuve écrite et préalable au paiement de l´acceptation de l´offre par l´acheteur, tel un bon de commande.
L´intérêt du commerce électronique se trouvant fortement réduit par un tel formalisme, les entreprises n´ont d´autre recours que la souscription de garanties contre les impayés frauduleux.
Conseils pour le consommateur :
* Le consommateur ne doit pas communiquer son numéro de carte de crédit s’il a un doute, même minime, quant à la sécurité assurée par le commerçant virtuel.
* Ne communiquez jamais votre code secret à quatre chiffres (Code d’identification personnel) si le mode de paiement que vous utilisez n´associe pas un clavier spécifique, destiné à le saisir.
Exemple intéressant : Paiement CIC