Le régime des paiements par Internet : fournisseur/marchand

By 3 November 2012

Le régime des paiements par internet – Chapitre 1 :

Les paiements entrent dans le cadre plus général des transactions par Internet. En effet, on peut décrire les relations contractuelles entre l’internaute (professionnel ou particulier) et l’e- marchand de la manière suivante :

Tableau 5 : L’achat sur Internet
L’achat sur Internet

L’internaute visite le site du fournisseur (1) et consulte son catalogue de produits et/ou de services (2). Il choisit le(s) produit(s) qui l’intéresse(nt) et consulte leur descriptif (3). S’il décide de l’acheter, il le place dans le panier virtuel (4). Il peut vérifier les produits que son panier virtuel contient (5,6) ainsi que le montant total des achats (7). Ensuite, il choisira le mode de paiement. Qu’il paie par carte bancaire ou par un autre instrument de paiement (par exemple par un porte-monnaie électronique), il devra saisir les données nécessaires (8). L’établissement émetteur vérifiera les données et acceptera ou refusera l’ordre de paiement (9). Il communiquera sa décision au fournisseur (10), lequel, en cas d’acceptation de l’ordre de paiement, accusera réception de la commande.

La transaction électronique est assimilée à un contrat de vente à distance classique.
Pour qu’une transaction soit sûre elle doit remplir les conditions de confidentialité, d’intégrité des messages, d’authentification des partenaires, d’autorisation et de capacité de conclure, de confiance au cocontractant et de non-répudiation.

§1- Les intervenants lors de la transaction

« La liberté du commerce n’est pas une faculté accordée aux négociants de faire ce qu’ils veulent; ce serait bien plutôt sa servitude. Ce qui gêne le commerçant ne gêne pas pour cela le commerce ».
Montesquieu, De l’esprit des lois, 1748

Si la majorité d’auteurs penche vers l’adaptation de règles juridiques déjà existantes au commerce électronique, d’autres (surtout les auteurs américains) proposent le développement des règles de conduite des utilisateurs sur Internet73. A titre d’exemple, nous pouvons citer les règles suivantes74 :
– Les utilisateurs sont personnellement responsables de comprendre et de respecter les politiques de sécurité des systèmes qu’ils utilisent. Les utilisateurs sont personnellement responsables de leur propre comportement.
– Les utilisateurs ont la responsabilité d’utiliser les procédures et les mécanismes de sécurité disponibles pour protéger leurs propres informations.
– Les utilisateurs de communications sortantes ne doivent pas être agressifs, harcelants, diffamatoires, perturbateurs pour les actions des autres, ou faire toute chose qui donnerait une mauvaise image ou ternirait la réputation de l’entreprise.
– Les avertissements clarifiant les responsabilités engagées doivent être utilisés en fin de tous les messages sauf si le message représente officiellement la société. L’avertissement normal est : « Tout commentaire ou position décrits ne sont pas nécessairement ceux de la société, de ses services, ou filiales ».
– Un fichier de signature doit être derrière tout message e-mail ou article USENET. Elle doit comprendre le nom, nom de l’entreprise et l’adresse électronique de l’utilisateur. Il ne faut pas utiliser de slogan, de logo, de dessin ou une autre signature sophistiquée.
– L’utilisation du chiffrement est permise si elle respecte des normes de chiffrement de l’entreprise. Elle doit également respecter également les lois nationales, internationales, ou spécifiques à certains pays.

En examinant soigneusement ces « règles », une similitude importante avec les règles juridiques nationales et internationales apparaît75. La question si ce sont les codes de conduite qui sont inspirés des règles juridiques ou l’inverse repose sur la même problématique que celle de l’œuf et de la poule. En d’autres termes, il y a une réelle synergie entre les autorités publiques nationales et internationales et les acteurs sur Internet.

Quelles sont alors les relations qui s’établissent par Internet ? Nous en distinguons quatre types :
– Le A to B: Administration to Business. Il s’agit des relations établies entre l’administration et les entreprises ou les professionnels en général. En France, la plupart des administrations ont mis en place un système de déclaration par Internet. Par exemple, la CNIL propose l’enregistrement de fichiers en ligne. Un professionnel, par exemple un avocat, peut demander au greffe du tribunal de commerce les comptes déposés par une entreprise.
– Le A to C : Administration du Consumer. Il s’agit des relations entre l’administration et les citoyens. Progressivement, tous les pays occidentaux étudient, par exemple, la possibilité de vote par Internet. En France, il existe un projet qui étudie la possibilité pour un citoyen de demander son acte de naissance par Internet.

Sur ce point, deux observations doivent être faite. Premièrement, nous constatons l’absence de ce que l’on pourrait appeler A to A (Administration to Administration). En effet, les relations entre Etats, entre Etats et Organisations Internationales, et entre administrations ont aboutit à la création de réseaux spécifiques, sécurisés, et fermés et par conséquent l’utilisation de l’Internet n’est pas envisagée actuellement76. D’autre part, les relations des administrations avec les entreprises et les particuliers sont sécurisées par des protocoles, tels que SSL. Par conséquent, les relations qui posent des réels problèmes juridiques sont de deux ordres :
– le B to B : Business to Business. Il s’agit des relations commerciales entre entreprises;
– le B to C : Business to Consumer. Ce sont les relations commerciales entre entreprises et consommateurs.

A- Le fournisseur/marchand

« L’art du marchand consiste à prendre une chose là où elle abonde et à l’amener là où elle est rare ».
R.W. Emerson

Le développement de l’Internet a permis aux e-marchands de chercher des moyens ingénieux pour attirer une clientèle de plus en plus large77

1- Les obligations du fournisseur

La directive 2000/31/CE du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, est le texte communautaire de référence actuellement en transposition dans tous les Etats membres78. Son objectif est d’assurer un niveau élevé d’intégration juridique communautaire. Elle couvre aussi bien les services B to B que les services B to C. Ses dispositions ne s’appliquent qu’aux fournisseurs établis à l’intérieur de l’Union Européenne. Elle définit le lieu d’établissement comme étant le lieu où un opérateur exerce d’une manière effective une activité économique au moyen d’une installation stable pour une durée indéterminée, indépendamment de la localisation de son site web ou du serveur ou de l’opérateur de courrier électronique.

La directive comporte des dispositions essentielles à la bonne conclusion d’une transaction. Ainsi, selon l’art.5.1, tout prestataire de services est tenu de permettre aux utilisateurs d’accéder à certaines informations le concernant (notamment : nom, lieu d’établissement, ses coordonnées permettant de le contacter rapidement et de communiquer directement et effectivement avec lui, y compris son adresse de courrier électronique). Ces informations sont très importantes pour instaurer un lien de confiance entre le marchand et le client. Enfin, l’accès à ces informations doit être facile, direct et permanent79.

L’art.10 précise l’obligation d’information à la charge du prestataire. Ces informations doivent être formulées de manière claire et non équivoque, et doivent être fournies au client avant qu’il passe sa commande. Ces informations sont :
– les différentes étapes à suivre pour conclure le contrat;
– l’archivage ou non du contrat par le fournisseur et son accessibilité par le client;
– les moyens d’identification et de correction des erreurs, ainsi que les langues proposées;
– les codes des conduites appliquées par le fournisseur et leur mode de consultation par voie électronique;
– les conditions générales du contrat.

L’art.11.1 concerne le moment de la conclusion du contrat, en admettant tous les moyens technologiques (comme cliquer sur une icône). Le prestataire devra accuser réception de la commande sans délai injustifié et par voie électronique. La commande et l’accusé de réception sont considérés comme étant reçus lorsque les parties y ont accès. Cependant, lorsque le contrat est conclu entre professionnels, les parties sont libres de choisir un mode de conclusion du contrat différent, en maintenant notamment la pratique du « clic deal » (acceptation ou refus de l’offre par un simple clic). Enfin, l’art.11.3 prévoit que l’obligation pour le prestataire d’accuser réception de la commande et de mettre à la disposition de son cocontractant les moyens pour corriger les erreurs ne sera pas nécessaire dans le cadre des contrats conclu exclusivement par l’intermédiaire de l’échange de courrier électronique.

2- Gestion des risques.

Le commerce électronique est exposé à un certain nombre de risques, notamment le piratage des informations, la fraude, l’intrusion sur le réseau interne à partir d’Internet, la perte de confiance des clients et les coûts liés aux incertitudes. Certains de ces risques sont liés à la nature de l’Internet (ex. les fraudes réalisées à l’aide du réseau – cybercriminalité), d’autres sont communs à tous les types de transaction déjà existants (comme le risque de la répudiation de la transaction). Certaines solutions consisteraient au cloisonnement des réseaux80, à l’utilisation de la cryptographie, au développement des systèmes de paiement sécurisé et à la mise en place de dispositifs d’administration et de surveillance permanents du site81

a) La révocabilité de l’ordre de paiement

Il s’agit du risque de répudiation de l’ordre de paiement, lors de la simple communication du numéro à 16 chiffres de la carte bancaire. Pour éviter ce risque, les parties peuvent prévoir une clause dans le contrat interdisant la révocabilité du mandat de paiement. Mais selon la jurisprudence82 française, cette clause n’a pas pour conséquence l’interdiction de la révocation de l’ordre de paiement, mais seulement d’engager la responsabilité de celui qui procédera à la révocation. Par conséquent, le mandat est revêtu d’un caractère précaire, ce qui a conduit le législateur français à décider que « l’ordre ou l’engagement de payer donné au moyen d’une carte est irrévocable »83.

La recommandation 97/439/CE prévoit également cette irrévocabilité : « [le titulaire] ne peut révoquer une instruction qu’il a donné au moyen de son instrument de paiement électronique »84.

Mais cette irrévocabilité ne peut s’appliquer que dans l’hypothèse de la simple production du numéro de carte bancaire à cause de deux éléments essentiels lors d’une transaction : l’authentification du titulaire et la signature attestant de son consentement. Les clauses, insérées dans les contrats de fourniture de carte bancaire, qui prévoient l’irrévocabilité en toutes circonstances sont considérées comme abusives aussi bien par les droits nationaux85 que par le droit communautaire. En effet, l’art.6 §3 de la recommandation 97/489 relative aux paiements électroniques prévoit que « la responsabilité du titulaire n’est pas engagée si l’instrument de paiement a été utilisé sans présentation physique ou sans identification électronique (de l’instrument même) ».

La révocabilité est envisageable soit antérieurement soit postérieurement à l’exécution du mandat. Dans les hypothèses, la fraude peut en être le fondement (il s’agit soit du comportement frauduleux du titulaire de la carte bancaire, soit d’un tiers qui après avoir intercepté le numéro de la carte, il en a fait usage)86. Par conséquent, la tâche pour le commerçant consiste à apporter la preuve de l’existence du mandat. Il convient d’affirmer que la seule révélation du numéro facial d’une carte ne suffit pas à établir qu’elle a été le fait du titulaire de la carte. En effet, c’est avec la loi du 2 mars 2000 que le législateur a introduit la signature électronique comme moyen de preuve dans toute transaction effectuée sur l’Internet, dès lors que l’on identifie l’auteur, complant ainsi le vide de l’article

b) Les autres risques

Les risques auxquels un commerçant doit faire face dans le cadre du commerce électronique, ne sont pas différents de ceux dans le cadre du commerce en magasin ou du commerce international. En effet, dans toutes les hypothèses, le risque de la fraude de carte bancaire est toujours présent mais il est amplifié par l’étendue du réseau Internet. Les moyens cryptographiques ont l’objectif de limiter ce type de fraudes.

En plus, le marchand est exposé aux risques « classiques » du commerce international : le risque politique, le risque de change, le risque d’impayé. Ces risques peuvent être couverts par la souscription d’une assurance spécifique (en France, la COFACE est l’organisme compétent pour la couverture de tels risques).

Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA

___________________________________________
73 Même si reconnaisse la nécessité des codes de conduite des utilisateurs, on ne peut qu’acclamer le rôle primordial que les règles juridiques nationales et internationale jouent dans le domaine du commerce électronique.
74 T. Bernstein et al. « Sécurité Internet pour l’Entreprise », International Thomson, 1997, p.110 à 113.
75 Le but de cette étude est exactement de démontrer cette « réglementation » très large et variée, relative au droit du commerce électronique.
76 Il faut néanmoins noter qu’Internet a été né par un projet que l’on pourrait qualifier de « A to A ». En effet, l’ancêtre d’Internet c’est ARPANet, né en 1969 dans le cadre de recherches militaires développées par le département américain de l’ARPA (Advanced Reaserch Project Agency). Le but poursuivi par le gouvernement était de mettre en place un réseau à vocation militaire pouvant survivre même en cas de destruction partielle de ses éléments. Si finalement, on est revenu à des système informatiques fermés c’est à causes des limites démontrés par Internet : la sécurité, qui est primordiale dans ce domaine, est limitée.
77 Par exemple, en 1991 le site Dell.com a enregistré un chiffre d’affaires journalier de 35 millions de dollars, soit 12 milliard par an, ce qui représentait 43% du chiffre d’affaires total de Dell. Ce succès est dû au modèle build-to-order (« construit à la demande ») qui permettait aux client, aussi bien consommateurs que professionnels, de commander l’ordinateur le mieux adapté à leurs besoins et environ 10 à 15% moins cher que chez les concurrents de Dell.
78 L’art.9.1 de la directive prévoit que les Etats doivent adapter leur législation pour rendre possible la conclusion des contrats par voie électronique.
79 Au mois de juin, l’Administration de l’Inspection économique du Ministère des Affaires Economiques belge a publié les résultats d’une enquête sur les informations précontractuelles fournies par les sites commerciaux belges. Sur 1083 sites contrôlés, 403 dossiers ont été ouverts pour diverses infractions. Selon ces résultats :
– 13% des sites ne mentionnent pas d’adresse géographique;
– 21.7% des sites ne mentionnent pas d’adresse e-mail;
– 10.9% des sites ne mentionnent pas de numéro de téléphone;
– 26.1% des sites ne donnent pas de calcul du prix total de la transaction;
– 41.3% n’appliquent pas de politique de retour, de remplacement ou de remboursement;
– 58.7% n’appliquent pas convenablement la législation en matière de la protection de la vie privée. Concernant l’étude sur les sites français réalisée par la CNIL, voir annexe I : Statistiques, tableau 4.
80 Solution qui consiste en la mise en place d’un système de firewall. Mais ce système comporte des failles, car il est possible qu’un « hacker professionnel » puisse contourner le dispositif.
81 Cette solution est onéreuse pour les petites et moyennes structures.
82 Notamment Cass. 3e civ. 10 mai 1968, Bull. civ. III, n°209.
83 Loi du 11 juillet 1985 modifiée par la loi du 30 décembre 1991 insérée à l’article 57-2 du décret loi de 1935, selon lequel : « L’ordre ou l’engagement de payer donné au moyen d’une carte de paiement est irrévocable. Il ne peut être fait opposition au paiement qu’en cas de perte ou de vol de la carte, de redressement ou de liquidation judiciaire du bénéficiaire ».
84 Considérant 10.
85 En France, la Commission des clauses abusive, dans sa recommandation 94-02 relative aux contrats porteurs des cartes de paiement assorties ou non de crédit, a exigé que soient éliminées de ces contrats les clauses ayant pour objet ou pour effet de conférer un caractère irrévocable à un ordre de paiement donné sans signature manuscrite du titulaire de la carte et sans usage du numéro d’identification personnel.
86 Pour certains auteurs, le numéro d’identification de la carte n’est pas une information confidentielle. Voir notamment l’article de C. Lucas de Leyssac et de X. Lacaze, « Le paiement en ligne », JCP E, n°12, 22 mars 2001 p.506. Cependant, selon la définition des données personnelles, le numéro de la carte peut être considéré comme une donné personnelle et par conséquent être protégé en tant que telle.