Nouveaux moyens de paiement, banque digitale et protection des données

Le paiement sans contact (NFC pour Near Field Communication) est une sorte de marronnier : on en parle beaucoup, depuis longtemps, et puis… Et puis ? Sur carte ou intégrée à un téléphone mobile, la fonctionnalité du paiement sans contact se développe imperceptiblement. Et pas simplement la fonctionnalité, d’ailleurs : dans son Rapport 2015, l’Observatoire des tarifs bancaires a recensé, à février 2015, 11,5 millions de transactions sans contact (par carte et téléphone mobile) réalisées en France, pour un montant d’achats de 123,97 millions d’euros (p. 33). Si l’on s’attache aux supports de paiement, près de 34 millions de cartes sans contact (soit 50 % des cartes émises) seraient en circulation, contre 6,5 millions de mobiles NFC (environ 75 modèles). Les lieux acceptant le paiement sans contact se multiplient également : l’Observatoire recense 267 290 points de vente équipés de terminaux de paiement (TPE) sans contact (20 % du parc). D’autres chiffres, communiqués en juin 2015 par l’Observatoire du NFC et du sans contact, témoignent d’une accélération sensible : 7,7 millions de smartphones (90 modèles), 36,6 millions de cartes (56,61 %) et 300 163 commerçants ( 23,1 % [1] ). Sur le podium des usages, la première marche est occupée par la restauration rapide (14,4 %), la deuxième par les épiceries et supermarchés (13,8 %), la dernière par la boulangerie (13 %). Les différents taux d’équipement sont toutefois à relativiser. Concernant les cartes sans contact, le document de synthèse des propositions résultant des travaux préparatoires aux Assises des moyens de paiement (CCSF, mai 2015) révèle qu’en novembre 2014, seulement 5 millions (18 %) d’entre elles étaient actives, c’est-à-dire avaient été utilisées au moins une fois au cours du mois.

Petits montants, petites questions ? Le paiement sans contact est aujourd’hui réservé aux petits paiements (règle interbancaire). Le plafond du montant unitaire est en principe fixé à 20 euros, porté à 100 euros en paiements successifs cumulés ; au-delà, la composition du code confidentiel est requise et elle réinitialise le montant maximum autorisé.

Le principe est simple : le porteur du support (carte ou téléphone) s’approche de la borne et enclenche de ce seul fait le paiement, à moins que le montant atteint ne lui impose de composer son code confidentiel. Pas de quoi révolutionner le droit du paiement ? Et pourtant, le sans contact alimente, ou renouvelle, différentes questions juridiques, que plusieurs rapports et publications permettent de mettre à jour. Tarification, information des porteurs, risque de fraude et sécurité, contestation et droit à remboursement… la nouvelle technologie appelle de nombreuses précisions et révèle une lame de fond en droit du paiement : la place croissante du droit des données personnelles [2] et l’augmentation corrélative du pouvoir de la CNIL, qui n’a presque jamais été aussi présente en matière bancaire qu’avec ce nouveau sujet. D’où l’intérêt de s’y intéresser, tant du point de vue des opérateurs (I.) que des utilisateurs (II.).

I. OBLIGATIONS DES OPÉRATEURS

Information sur la fonctionnalité. Les opérateurs du paiement sans contact supportent, comme tous les prestataires de services de paiement, des obligations d’ information [3] . C’est une évidence : ils devraient déjà informer leurs clients de l’existence d’une fonctionnalité « sans contact ». D’autant que les cartes actuellement émises comprennent de manière quasi systématique du sans contact (98 %). Or, les conditions générales de banque ou les contrats porteurs ne renseigneraient pas le porteur sur son intégration d’office lors du renouvellement, pas plus qu’ils ne l’informeraient sur les moyens d’activation ou de désactivation. Les plaintes enregistrées par la CNIL en 2014 attestent de ce défaut d’ information [4] , ce qui soulève inévitablement, en miroir, des questions sur le terrain des droits des utilisateurs (voir infra [5] ).

Cette information est d’autant plus fondamentale que la fonctionnalité sans contact engendre de nombreuses craintes, parmi lesquelles celle de se faire voler les données afférentes à la carte, de payer sans l’avoir voulu, mais aussi d’être géolocalisé… Si certaines de ces craintes relèvent des règles attachées aux services de paiement, c’est, pour l’heure, par le biais des données personnelles que la pratique se trouve aujourd’hui le plus encadrée : la CNIL estime que, conformément à l’article 32 de la Loi informatique et liberté [6] , les porteurs de carte doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser [7] .

En tout état de cause, il paraît illusoire de promouvoir le paiement sans contact sans même que les consommateurs ne sachent ce qu’ils ont entre les mains. Ce pourquoi le CCSF, dans ses propositions précitées, a milité pour « rendre systématique une double information détaillée et précise auprès des particuliers lors de la remise d’une carte sans contact, d’une part sur ce qu’est le sans contact (avantages, sécurité, fonctionnement, protection en cas de perte ou de fraude…), d’autre part sur la possibilité de désactiver la fonction sans contact sur simple demande (ex. : à partir du site de banque en ligne, par téléphone, en agence) » (p. 18).

Information sur les tarifs. L’Observatoire des tarifs bancaires a porté son attention sur les plaquettes tarifaires des banques sélectionnées ( 121 [8] ). Concernant les cartes sans contact, le prix n’est pas un sujet puisqu’aucune banque ne tarifie la fonctionnalité sans contact. Cela expliquerait qu’une large majorité des banques ne communiquent même pas, dans leur plaquette, sur cette fonctionnalité. S’agissant des M-paiements, seuls 17 % des établissements référencés par l’Observatoire ont prévu une ligne « paiement sans contact lié au téléphone mobile » au sein de leur plaquette tarifaire. Certes, le paiement sans contact mobile est bien moins déployé que la carte NFC. Mais l’application mobile, au contraire de cette dernière, peut être payante, pour un coût compris entre 12,50 euros et 24 euros par an. Carte ou mobile, on ne peut pas dire que la communication sur le sans contact soit satisfaisante.

Sécurité ? Seule la sécurité du paiement carte sans contact peut être aujourd’hui évaluée, car le paiement mobile n’est pas couvert par l’Observatoire de la sécurité des cartes de paiement. Quoi qu’il en soit, après divers états des lieux et études (rapports 2007 et 2009), le rapport 2014 publie les premiers chiffres, et ils sont manifestement rassurants : « Sur les neuf derniers mois de l’année 2014, 9 600 paiements frauduleux ont été recensés pour un montant total de 108 000 d’euros. Le taux de fraude sur les transactions sans contact peut être estimé à 0,015 % sur cette période, et s’établirait donc à un niveau intermédiaire entre le taux de fraude des paiements de proximité tous modes confondus (0,010 %), et celui des retraits ( 0,034 % [9] ) ». Autre enseignement positif : l’origine quasi-exclusive de la fraude au paiement sans contact serait la perte ou le vol de la carte, excluant par-là toute faille liée à la technologie elle-même. Il n’en demeure pas moins que le sans contact continue à faire peur, d’où la nécessité de renforcer la pédagogie auprès des particuliers (et des commerçants), qui passerait par « une communication institutionnelle pour recréer la confiance sur la sécurité du “sans contact”, y compris mobile, auprès des journalistes et du grand public [10] ».

II. DROITS DES UTILISATEURS

Droit de choisir le service. On l’a dit, plus de 50 % des cartes bancaires sont aujourd’hui assorties de la fonctionnalité sans contact, sans que les utilisateurs n’en aient nécessairement été informés. À côté des plaintes qu’elle nourrit, cette donnée interpelle sur le terrain juridique. Quels sont les droits du porteur qui reçoit une telle carte sans le vouloir ? A minima, l’utilisateur doit pouvoir demander la désactivation de la fonctionnalité, voire la délivrance (gratuite évidemment) d’une carte qui en serait dépourvue. On comprend que les contraintes industrielles conduisent les banques à distribuer des cartes intégrant le dispositif de manière quasi systématique. Mais cette distribution n’est pas neutre sur les droits des porteurs de carte.

Ainsi l’impératif de protection des données personnelles a-t-il conduit la CNIL à demander, pour les cartes émises depuis septembre 2012, que le nom du porteur ne soit plus lisible par l’intermédiaire de l’interface sans contact des cartes bancaires. Et l’autorité a également obtenu, depuis juin 2013, que l’historique des transactions ne soit pas non plus lisible.

Mais surtout, le respect élémentaire du droit de chaque porteur implique que la carte ne soit pas active par défaut et que la fonctionnalité ne soit activée qu’avec son consentement exprès. Ce choix est fondamental, notamment pour l’application des règles juridiques relatives aux opérations de paiement.

Ordre de paiement : nécessaire volonté du payeur. Une opération de paiement est réputée autorisée si le payeur a donné son consentement à son exécution [11] . Sauf en matière de prélèvement, l’ordre qui déclenche l’opération de paiement émane du payeur, qui le formule directement auprès de son PSP (virement) ou éventuellement par l’intermédiaire du PSP du bénéficiaire (carte, TIP [12] ). Il est impératif que le porteur soit informé de l’existence de la fonctionnalité sans contact, et qu’il soit le seul maître de son activation, car c’est sa volonté de payer qui est supposée s’exprimer par ce biais.

Même si le payeur a en main une carte dont il sait et a voulu qu’elle puisse permettre le paiement sans contact, il reste que les risques sont là : que les données nécessaires au paiement soient interceptées par un fraudeur ou soient modifiées lors de lors enregistrement, ou qu’il ne soit pas d’accord avec le montant dont son compte sera débité. Toutes ces hypothèses soulèvent ainsi la question du droit à contestation et des conditions dans lesquelles il va s’exercer.

Droit à contestation : quel régime applicable ? Si l’on met de côté les cas de contestation propre au prélèvement (ordre émis par le bénéficiaire), il existe deux motifs de contestation : soit le paiement n’a pas été autorisé [13] , soit il a été mal exécuté [14] . La mauvaise exécution est une hypothèse qui ne peut être écartée, mais qui n’est pas centrale. En revanche, le paiement sans contact soulève la question des conséquences d’une opération non autorisée. Le paiement non autorisé ouvre en effet théoriquement droit à remboursement intégral [15] . Mais ce droit est subordonné à la diligence de l’utilisateur, notamment au fait qu’il ait signalé sans tarder l’opération à son prestataire, et au plus tard dans les 13 mois de l’ opération [16] . La loi réserve toutefois l’hypothèse dans laquelle « le prestataire de services de paiement ne lui ait pas fourni [au client payeur] ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement », ce qui pourrait s’appliquer lorsque le porteur d’une carte n’a pas été informé de l’existence de la fonctionnalité sans contact.

Droit au remboursement ? Le principe du remboursement intégral connaît toutefois des aménagements dans les « cas particuliers des instruments de paiement dotés d’un dispositif de sécurité personnalisé », ce qui concerne sans nul doute la carte bancaire mais soulève des questions pour les téléphones mobiles. Si le régime applicable au paiement sans contact par carte peut être facilement appréhendé, celui applicable au M-paiement est au contraire plus incertain.

Lorsque le paiement est la conséquence d’un vol, d’une perte ou d’une utilisation frauduleuse de la carte ou des données qui y sont liées, le porteur a l’obligation de faire opposition [17] . Concrètement, les banques subordonnent généralement le droit au remboursement de leur client à l’enregistrement d’une telle opposition. Mais l’opposition emporte renonciation à utiliser la carte, car elle signe son arrêt de mort. Le porteur n’a alors plus qu’à demander-souscrire une nouvelle carte. Délai et contrariété sont alors généralement au rendez-vous.

Pourtant, en matière de paiement sans contact, on peut penser – faute de croire en la sécurité complète de la technologie – que des opérations risquent d’être initiées sans que le porteur ne l’ait voulu (surtout s’il n’était pas informé de la fonctionnalité ou qu’il ne l’a pas activé lui-même), et ce même en dehors d’une fraude. Pourra-t-on alors lui imposer de faire opposition ou de refuser d’enregistrer sa contestation ? Au regard de la croissance rapide et exponentielle des bornes de paiement de carte NFC, le coût qui en résulterait pour les banques risque d’être important. L’industrie bancaire n’a pas intérêt d’avoir à réémettre des cartes dès lors qu’un paiement de 3,20 ou pire de 40 centimes d’euros sera contesté !

Ensuite, le porteur aura-t-il à supporter un coût quelconque en cas de fraude ou de dysfonctionnement ? Même si le paiement par carte s’effectue à courte distance (10 centimètres en principe), cela implique qu’il puisse se voir appliquer le régime du paiement à distance, c’est-à-dire sans utilisation du dispositif de sécurité personnalisé [18] . La conséquence est importante pour les utilisateurs : en cas d’opposition (qui emporte, on le rappelle, obligation de souscrire une nouvelle carte), les montants débités du compte bancaire du porteur pourront lui être remboursés, et ce intégralement. La franchise de 150 euros prévue à l’article L. 133-19 du Code monétaire et financier ne trouvera pas à s’appliquer pour les paiements consécutifs à la perte ou au vol de l’instrument de paiement. Cette exonération ne jouera cependant pas lorsque le paiement sans contact aura donné lieu à la composition du code confidentiel [19] .

Mais le raisonnement tenu pour le paiement sans contact par carte peut-il être transposé au paiement par téléphone mobile ? Cela supposerait que ce dernier soit considéré comme un instrument de paiement, ce qui n’est pas exclu mais impliquerait que les opérateurs de téléphonie mobile en soient les émetteurs au sens de l’article L. 314-II, 5°, du Code monétaire et financier [20] . En réalité, le paiement sans contact mobile est plutôt analysé comme une opération de paiement ordonnée par le payeur, le téléphone étant seulement le support d’une application permettant l’émission d’un tel ordre. Dès lors, le régime applicable en cas de vol ou de perte des instruments de paiement n’a pas vocation à s’appliquer, et celui qui conteste un paiement sans contact par mobile ne devrait ni se voir imposer de faire une quelconque opposition, ni se voir limiter son droit au remboursement.

La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Pierre Storrer et Myriam Roussille.

1 Source : Association française du sans contact mobile et Groupement des cartes bancaires CB. 2 Voir J. Morel-Maroger et M. Roussille, en collaboration avec P. Storrer, « Données personnelles et services bancaires », in La proposition de règlement européen relatif aux données à caractère personnel : propositions du réseau Trans Europe Experts, Société de législation comparée, vol. 9, pp. 395 et s. 3 Sur l’obligation d’information précontractuelle et sur l’obligation de conclure un contrat-cadre de services de paiement : CMF, art. L. 314-12 et L. 314-13. 4 CNIL, Rapport d’activité 2014, p. 46 : la CNIL souligne que la diffusion de cartes bancaires sans contact a constitué un nouveau motif de plainte en 2014. 5 CNIL, Fiche pratique « Carte de paiement sans contact : mode d’emploi », 19 mai 2015. 6 L’article 32, II de la loi n° 78-17 du 6 janvier 1978 prévoit que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant ». 7 Délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2003-034 du 19 juin 2003. 8 Rapport 2015 de l’Observatoire des tarifs bancaires, pp. 33 et s. 9 Rapport annuel 2014 de l’Observatoire de la sécurité des cartes de paiement, p. 20. 10 CCSF, Synthèse des propositions, précit., p. 30. 11 CMF, art. L. 133-6, I. 12 CMF, art. L. 133-3, II a) et b). Le prélèvement est une opération de paiement ordonnée « par le bénéficiaire, qui donne un ordre de paiement au prestataire de services de paiement du payeur, fondé sur le consentement donné par le payeur au bénéficiaire et, le cas échéant, par l’intermédiaire de son propre prestataire de services de paiement » (CMF., art. art. L. 133-3, II c)). 13 CMF, art. L. 133-18. 14 CMF, art. L. 133-21 et L. 133-22. 15 CMF, art. L. 133-18. 16 CMF, art. L. 133-24. 17 CMF, art. L. 133-17. 18. 18 CMF, art. L. 133-19, I, al. 2. On se rapportera encore à l’étude que consacre l’Observatoire à l’utilisation des techniques biométriques lors des opérations avec des cartes de paiement (p. 27 et s.), étant observé que la sécurité du paiement sans contact pourrait sans doute être renforcée par l’usage de la biométrie. 19 Notons toutefois que le Cour de cassation refuse de considérer que le client commet une faute lourde, le privant de son droit en remboursement, par le seul fait que le code confidentiel a été composé : Cass. com. 2 oct. 2007, n° 05-19899, P. 20 À moins que ne soit caractérisé le service 7 prévu par ce même article L. 314-1, II.