Le cadre légal du paiement sans contact

Auteur : François Brion, expert EESTEL

 

Le volume de transactions par carte sans contact croît de façon exponentielle : en France, de 1 milliard en 2017, il est passé à 2 milliards en 2018 et franchira la barre des 3 milliards en 2019, soit le cinquième des transactions de paiement.

Il est intéressant de revenir sur la sécurisation de ces transactions et leur cadre contractuel. Aujourd’hui ces transactions sont hors périmètre DSP2. Mais qu’arrive-t-il en cas de litige ?

 

Lors d’un paiement, il convient de distinguer plusieurs éléments qui contribuent à la sécurité de celui-ci :

  • L’authentification du payeur préalable à la transaction,
  • La sécurisation financière de la transaction,
  • La preuve de la transaction.

 

Authentification du payeur

L’authentification du payeur préalable à la transaction est destinée à s’assurer que c’est bien le payeur légitime qui réalise la transaction.

Pour un paiement réalisé au moyen d’instruments papier, elle peut être réalisée en contrôlant une pièce d’identité (chèque, virement papier remis au guichet) ou en comparant la signature apposée par le payeur avec une signature de référence (carte dans certains cas d’utilisation de la piste magnétique).

Pour un paiement faisant appel à un dispositif électronique (carte à puce, téléphone portable, terminal de paiement), l’authentification est faite en vérifiant un code confidentiel, en contrôlant un mot de passe à usage unique ou encore en faisant appel à la biométrie.

NB :

  1. certains paiements peuvent ne pas donner lieu à authentification du porteur, par exemple le paiement de péages d’autoroute ou l’utilisation d’un porte-monnaie électronique.
  2. L’authentification du support seul (par exemple en calculant un certificat prouvant que la carte a été utilisée) ne suffit pas pour authentifier le payeur : la carte peut avoir été perdue ou volée sans que le porteur en ait connaissance ; dans le cadre de la réglementation actuelle, un tribunal considérera qu’il n’y a pas de preuve que c’est le payeur légitime qui a réalisé la transaction.

 

Sécurisation financière de la transaction

La Sécurisation financière de la transaction permet de s’assurer que le moyen de paiement est valide (qu’il n’a été ni falsifié, ni volé) et que les fonds sont disponibles pour payer le bénéficiaire

Un calcul algorithmique permet de réaliser cette authentification pour une carte à puce (authentification off-line ou on-line en vérifiant un certificat). Il est possible de vérifier que le moyen de paiement figure sur la liste des moyens de paiement autorisés via une demande d’autorisation.

De plus, des dispositifs de limitation d’utilisation du moyen de paiement permettent de limiter le risque financier : montant maximum de la transaction, plafond maximum d’utilisation sur une période, vérification que la transaction ne met pas le compte à découvert, non-dépassement du nombre maximum de transactions off-line autorisé.

L’authentification du porteur peut être demandée toutes les n transactions (paiement sans contact), ce qui contribue à diminuer le risque.

 

Nature du compte

Enfin la nature du compte à partir duquel les fonds vont être prélevés pour réaliser le paiement joue un rôle important.

S’il s’agit d’un compte de monnaie électronique, comme c’est le cas pour les porte-monnaie-électroniques (Moneo), le payeur a été averti que l’argent qui se trouve sur ce compte ne bénéficie pas des mêmes garanties de sécurité que sur un compte courant et que cet argent peut être utilisé pour réaliser des paiements sans authentification du payeur.

S’il s’agit d’un compte courant (ou compte de dépôts), le teneur de compte a l’obligation de pouvoir justifier chaque opération qu’il passe sur le compte. En particulier, il doit pouvoir prouver que l’opération a été initiée par un payeur autorisé. Cela évite une répudiation après coup de la transaction par le titulaire du compte.

Cette preuve peut se matérialiser de différentes manières :

  • pour un chèque, un paiement carte utilisant la piste magnétique ou un virement initié au guichet de la banque, c’est la signature du payeur autorisé qui fait foi ;
  • pour un paiement carte EMV c’est le certificat figurant sur le ticket qui fait foi ; il atteste – et la jurisprudence existe – que la transaction a été effectuée par la carte, que le titulaire a tapé un code confidentiel correct, qu’elle a eu lieu chez le commerçant identifié parle numéro, tel jour à telle heure et pour le montant indiqué. Ce certificat a la même valeur juridique que les éléments figurant sur un chèque ;
  • pour un paiement carte sur Internet réalisé en utilisant 3D secure, la trace de la saisie du mot de passe à usage unique prouve que celui qui a réalisé le paiement était en possession du téléphone qui l’a reçu ;
  • enfin dans le cas du virement initié sur la banque à domicile, une convention de preuve existe entre la banque et son client, selon la directive DSP2 : par exemple un certificat calculé par le serveur de la banque à domicile une fois que le client s’est authentifié et a validé l’opération.

Dans les autres cas la transaction est répudiable par le titulaire du compte : par exemple pour l’avis de prélèvement (core SDD) ou en cas de paiement carte sur Internet avec simple saisie numéro (hors 3D secure).

 

Paiement sans contact

Dans le cas du paiement sans contact, on se trouve dans la situation où le payeur n’est pas  authentifié et le paiement est signé par la seule carte, sans qu’il y ait authentification du payeur. Ce paiement mouvemente un compte courant.

Juridiquement on est donc dans la même situation que pour un paiement carte avec simple saisie du numéro (hors 3D-Secure) ou un débit direct

La transaction est donc révocable en cas de contestation du porteur.

Un fossé est en train de se creuser entre le monde des transactions à contact, en proximité, bien sécurisé et réglementé, et le monde des transactions sans contact où la situation réglementaire est plus floue. Cela s’explique par leur genèse :

  • les transactions à contacts ont été conçues à l’origine d’EMV, avec un souci de sécurisation ‘pur et dur’,
  • les transactions sans contacts ont été conçues outre-Atlantique, en partant des transactions ‘pistes magnétiques’. D’un point de vue sécuritaire, elles constituent une amélioration des transactions pistes, mais elles sont un net recul par rapport aux transactions EMV à contacts.

L’engouement pour le sans contact est probablement dû au succès incontestable des transactions sans contact dans le monde du transport, que l’on a voulu transposer au monde des paiements ; mais on semble avoir oublié que réaliser un paiement est un acte qui engage plus son auteur que de franchir un tourniquet dans le métro…

Aujourd’hui, il y a peu de cas de jurisprudence dans le domaine des paiements sans contact ; un jugement a été rendu à Briey (le Républicain lorrain du 8 septembre 2019 https://www.republicain-lorrain.fr/edition-de-briey/2019/09/08/vol-de-carte-bleue-sans-contact-et-sans-reel-cadre-legal).

Etant donné que le coût de traitement d’une réclamation est la plupart du temps largement supérieur au montant de la transaction (qui ne peut dépasser 30€), il est probable qu’en cas de litige, l’agence bancaire fera un geste commercial vis-à-vis de son client et prendra à sa charge le sinistre.

Toutefois, si les litiges venaient à se multiplier, cela finirait par poser un problème :

  • le coût de traitement des litiges pourrait devenir démesuré comparé au montant des pertes (le montant de chaque transaction est limité à 30€),
  • il y a un risque d’écorner l’image du paiement sans contact, avec perte de confiance du public dans ce mode de paiement.

Une évolution du système ou une réglementation plus sévère, par exemple en responsabilisant davantage le titulaire en cas de perte ou de vol de sa carte (mais ce serait contraire à l’esprit des DSP1 et 2, qui va dans le sens de la protection du payeur), serait alors à étudier.

 

Auteur : François Brion, expert EESTEL

 

Share.
X