La sécurité des paiements internationaux par Internet

By 3 November 2012

“… sécurité des paiements par l’intermédiaire du réseau, certains points importants doivent être abordés pour une meilleure compréhension du problème général. En effet,

§1- La notion des paiements internationaux

Plusieurs termes sont utilisés : paiements internationaux, transfrontières ou transfrontaliers. Tous ces termes comportent l’élément du franchissement d’une frontière d’une somme d’argent. Traditionnellement, on distingue deux types de paiements internationaux : les paiements face-à-face et les paiements à distance. En matière de commerce électronique, seuls les paiements …”

Mémoire pour l’obtention de DEA

La sécurité des paiements internationaux par internet

Catherine Kosma-Lacroze

2001

Avertissement : le document qui suit c’est le mémoire que j’ai préparé et présenté en soutenance pour l’obtention de mon DEA en juillet 2001. Depuis, des modifications législatives ont eu lieu en France (ex. loi sur l’économie numérique) ou au niveau communautaire. Néanmoins, le fond du problème persiste à savoir la réelle protection des paiements par Internet. Il s’agit encore de nos jours de l’obstacle principal à la cyberconsommation. Malgré les efforts réalisés par les principaux intéressés (cybermarchands, banques) la cybercriminalité évolue très rapidement ce qui lui permet de mettre à mal les systèmes de protection.

Il faut encore noter qu’il a fallu attendre 2006 à la CNIL pour se prononcer ouvertement sur le caractère de données personnelles des informations bancaires communiquées par le cyberacheteur en ligne lors de son achat (voir deuxième partie du mémoire).

Ainsi, et malgré son ancienneté, ce mémoire pourrait constituer une piste de réflexion.

Introduction :

« Les fous ouvrent les voies qu’empruntent ensuite les sages »
Carlo Dossi

Le commerce électronique doit être défini comme « la simple application d’un outil technique supplémentaire – c’est-à-dire la numérisation de données transportées notamment par les réseaux télécoms – permettant un mode de commercialisation nouveau des biens et services »1. En effet, Internet n’est qu’un outil supplémentaire de commercialisation, n’impliquant pas nécessairement la création de règles nouvelles. De son côté, l’AFCEE (Association Française du Commerce et des Echanges Electroniques) le définit de manière suivante : « Ce sont tous les échanges et toutes les transactions qu’une entreprise peut être amenée à faire au travers d’un média électronique ou d’un réseau ». Par conséquent, les règles déjà existantes en matière de commerce international sont applicables, contrairement à la thèse qu’Internet est « un espace de non-droit ».

Il conviendra d’appliquer, notamment la Convention de Vienne du 11 avril 1980 sur les contrats de vente internationale de marchandises, dès lors que ses conditions d’application sont remplies2. De même, la Convention de Rome du 19 juin 1980 sur la loi applicable, trouvera application.

Dans le cadre du commerce électronique deux types de paiements sont envisageables :
– le paiement off-line : il s’agit du paiement différé par chèque ou virement bancaire;
– le paiement on-line : il s’agit du paiement en ligne par carte bancaire ou tout autre instrument de paiement.

La majeure difficulté réside dans les paiements on-line, vu les risques pris autant par le client que par le fournisseur. Tous ces risques ainsi que leurs solutions éventuelles sont expliqués tout au long de cette étude.

Avant d’examiner les différents régimes nationaux et internationaux permettant la sécurité des paiements par l’intermédiaire du réseau, certains points importants doivent être abordés pour une meilleure compréhension du problème général. En effet,

§1- La notion des paiements internationaux

Plusieurs termes sont utilisés : paiements internationaux, transfrontières ou transfrontaliers. Tous ces termes comportent l’élément du franchissement d’une frontière d’une somme d’argent. Traditionnellement, on distingue deux types de paiements internationaux : les paiements face-à-face et les paiements à distance. En matière de commerce électronique, seuls les paiements à distance sont concernés. Il peut s’agir de petits ou gros montants.

La notion de paiement international s’est largement développée grâce aux nouvelles technologies. Ainsi, aux systèmes traditionnels, comme le système de virement par SWIFT3, s’y sont ajoutés des nouvelles techniques (par exemple les porte-monnaies électroniques). Dans tous les cas, les banques continuent à jouer le rôle principal.

Les paiements transfrontaliers ont préoccupé non seulement les Etats4, mais également toutes les organisations internationales ainsi que les Communautés européennes. En effet, la Commission a porté son attention aux paiements dits de détail, c’est-à-dire ceux qui sont effectués par les particuliers et par les petites et moyennes entreprises et auxquelles elle a assigné un plafond entre 2.500 écus et 10.000 écus5. Ces paiements correspondent à environ 50% des paiements transfrontières, qu’ils soient réalisés par virement, chèques, cartes bancaires ou eurochèques. Ils sont encouragés par toutes les instances et textes communautaires, notamment par le traité de Maastricht6 et le protocole sur le statut du Système européen des Banques centrales.7

1- Définition des paiements internationaux

La notion de paiement international suppose l’existence d’un élément d’extranéité : il doit y avoir un transfert de fonds d’un pays à un autre. Dans le cadre du commerce électronique, lors de l’engagement des négociations, les parties ne sont pas toujours au courant de la localisation de chacune d’entre elles. Même si les règles communautaires8 obligent le marchand de s’identifier de manière claire, cette pratique n’est pas généralisée. Il se trouve alors que des sites marchands ne contiennent aucune indication sur le lieu de leur établissement. D’autre part, le client n’est pas toujours identifié localement. En effet, s’il passe par un fournisseur d’accès étranger, son identifiant personnel (IP) ne permettra pas de le localiser géographiquement de manière sûre. Certes, lors de l’achat de biens, les adresses géographiquement précises seront échangées pour la livraison du bien. Mais, dans l’hypothèse de la prestation de services (par exemple, l’achat d’un logiciel en ligne) le client n’est pas obligé de donner son adresse9. Des problèmes de loi applicable apparaissent, notamment concernant le régime du paiement. Nous supposerons alors qu’il s’agit d’un paiement international dès qu’une localisation n’est pas possible.

Plan :
Introduction
§1- La notion des paiements internationaux
1- Définition des paiements internationaux
2- La loi-type CNUDCI sur les transferts internationaux de fonds
3- Les paiements transfrontières au sein de l’Union européenne
§2- La multiplication des moyens de paiement par Internet
1- Porte-monnaie électronique et virtuel
a) le porte monnaie électronique
b) le porte-monnaie virtuel
2- Cartes bancaires
3- Monnaie virtuelle
4- Monnaie universelle : l’or.
5- Les chèques électroniques
6- Les standards de paiements électroniques.
§3- Internet face à la souveraineté étatique
1- L’autonomie de la volonté.
2- Les conflits de lois.
3- Les conflits de juridiction
Chapitre 1 : Le régime des paiements par internet
§1- Les intervenants lors de la transaction
* Les paiements entre Etats et entre Etats et organisations internationales, par Internet, sont-ils envisageables ?
A- Le fournisseur/marchand
1- Responsabilité.
2- Gestion des risques.
a) La révocabilité de l’ordre de paiement
b) Les autres risques
B- Le client
1- Le Business to Business
i) Règle de la personne avertie – Question de la libre preuve.
ii) Un système de vente assez bien rodé (ex. assurances spécialisées).
2- Le Business to Consumer
i. Les règles communautaires
ii. Les règles nationales
ii -i. Question de la capacité du client de contracter (ex. en France pour les montants>à un certain montant, un mineur ne peut pas contracter).
ii -ii. Protection des consommateurs – Règles générales.
ii -iii. Règles de vente par correspondance.
3- La responsabilité et protection du client face à l’ordre de paiement
C- Intermédiation financière
a- l’intermédiation bancaire : moyens mis en œuvre; responsabilité.
i. Les paiements off-line: le cas des virements bancaires
i -i. Le réseau SWIFT
i -ii. Fedwire et Chips
i -iii. Chaps
i -iv. Sagittaire
ii. Les paiements on-line
iii. La réglementation juridique
b- Autres intermédiaires : les assurances.
D- Les tiers à la transaction : le cas de la fraude
a- Répression pénale du hacking.
i. Des organes policiers spécialisés
b- Coopération policière internationale
§2- Les moyens mis en œuvre pour sécuriser les transactions
A- La cryptographie
i. Eléments techniques.
ii. Le refus de libéraliser basé sur des considérations d’ordre public.
iii. Un régime juridique différend selon les pays.
iv. La naissance hésitante d’un régime international et communautaire.
iv -i. Les lignes directrices de l’OCDE
iv -ii. L’Union Européenne
iv -iii. Le Conseil de l’Europe
B- La certification.
i. le tiers certificateur, le tiers de confiance et leur rôle dans les transactions.
iv. Le tiers de confiance.
v. Le tiers certificateur
2- Vers une normalisation des relations en matière de certification : les ICP.
Chapitre 2- La sécurité juridique des transactions
§1- L’authentification et la signature électronique : un bouleversement du régime de la preuve ?
A- Nécessité d’authentification dans les transactions
1- L’authentification des parties en vue de la sécurité de la transaction.
a. Techniques d’identification des parties
a- i. La vérification par l’utilisation de mots de passe
a- ii. La vérification de l’identité par la possession d’un jeton
a- iii. Autres moyens d’identification des parties
a- iv. Le choix de la méthode
a- iv -ii) La non répudiation de la transaction et du paiement
a- iv -iii) La fraude : responsabilité; qui supporte les risques ?
(NB : ici, rappel très succinct des règles énoncées dans le chapitre 1 du mémoire et seulement sous l’aspect de l’authentification).
* L’authentification du message.
*- ii) l’objectif de garantir l’intégrité du message
*- iii) le rôle de l’intermédiaire à la transaction : force probante.
B- La valeur juridique de la signature électronique : vers une reconnaissance juridique.
1- La loi-type CNUDCI.
2- Le régime communautaire.
3- Des régimes nationaux variés et parfois révolutionnaires
3- i. La législation française
3-ii. La législation américaine4- Le problème de la répudiation des signatures
§2- La communication des données bancaires sous le régime de la protection juridique des données personnelles.
A- Les sources européennes et internationales
i. Les normes TEDIS et UNCID
i -1. La défaillance du système d’échange des données.
i -2. La sécurité des échanges des données
i -3. La confidentialité et la protection des données à caractère personnel
i -4. L’enregistrement et la conservation des messages EDI
i -5. Autres dispositions
ii. Le cadre communautaire
ii -1. La directive 95/46/CE du 24 octobre 1995.
ii -2. La directive 97/66/CE
ii -3. Le Livre vert du 3 déc. 1997
iii. Le Conseil de l’Europe
iv. Les lignes directrices de l’OCDE et des Nations Unies
B- L’obligation de déclaration aux autorités compétentes : l’exemple de la CNIL
C- Une grande diversité des régimes nationaux.
i. L’autorégulation : l’exemple des Etats Unis.
ii. La régulation étatique.
1. La protection des données personnelles.
2. Le régime de la correspondance privée.
D- La sanction du non respect de la protection des données personnelles

  1. La loi-type CNUDCI sur les transferts internationaux de fonds
  2. La multiplication des moyens de paiement par Internet
  3. Internet face à la souveraineté étatique
  4. Le régime des paiements par Internet : fournisseur/marchand
  5. Les intervenants lors de la transaction par Internet : le client
  6. Paiements off-line: cas des virements bancaires (par Internet)
  7. Réglementation juridique de l’intermédiation financière par internet
  8. Les tiers à la transaction par Internet : le cas de la fraude
  9. Moyens pour sécuriser la transaction par internet : cryptographie
  10. La certification, moyen pour sécuriser la transaction électronique
  11. Nécessité d’authentification dans les transactions par Internet
  12. La valeur juridique de la signature électronique
  13. Normes TEDIS et UNCID, protection juridique des données personnelles
  14. Communication bancaire et Protection des données personnelles
  15. Protection juridique des données personnelles, Conseil de l’Europe
  16. L’autorégulation, régime USA de protection des données personnelles
  17. La régulation étatique, protection des données personnelles
  18. Sanction du non-respect de la protection des données personnelles

___________________________________________
1 Stéphane Sénacq, « La vente internationale et le commerce électronique », RDAI/IBLJ n°3/4, 2001 p.490.
2 Article 1er de la Convention prévoit son champ d’application: « 1. La présente Convention s’applique aux contrats de vente de marchandises entre les parties ayant leur établissement dans des Etats différents :
a) lorsque ces Etats sont des Etats contractants;ou
b) lorsque les règles du droit international privé mènent à l’application de la loi d’un Etat contractant.
[…] 3.Ni la nationalité des parties, ni le caractère civil ou commercial des parties ou du contrat ne sont pris en considération pour l’application de la présente Convention ».
3 Voir infra.
4 Les paiements internationaux affectent directement la balance des paiements de chaque Etat.
5 Document de mars 1992, n°36.
6 Article 109F §3 : « en vue de préparer la troisième phase [de l’Union économique et monétaire], l’Institut monétaire européen…encourage l’efficacité des paiements transfrontaliers ».
Aussi, l’article 105-2 quatrième tiret, énonce : « les missions fondamentales du Système européen des Banques centrales consistent…à promouvoir le bon fonctionnement des systèmes de paiement ».
7 Article 22 : « La Banque centrale européenne et les banques centrales nationales peuvent accorder des facilités et la Banque centrale européenne peut arrêter des règlements, en vue d’assurer l’efficacité et la solidité des systèmes de compensation et de paiement au sein de la Communauté et avec les pays tiers ».
8 Directive 2000/31/CE du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, art.5.1.
9 Même si dans la pratique, lors de l’installation du logiciel, une telle identification est exigée. Le client n’est pas obligé de déclarer le vrai pays de sa résidence.