Environnement juridique du paiement sans contact, par Sabine Marcellin, Juriste

Quelles sont les problématiques juridiques liées au développement du paiement sans contact ?

L’émission des moyens de paiement

Aujourd’hui, les fournisseurs de moyens de paiement ne peuvent être, selon le Code monétaire et financier (CMF), que les établissements de crédit, les établissements de monnaie électronique, ainsi que certaines entreprises du fait notamment de leur étroite relation financière ou commerciale avec l’établissement émetteur (art.L 111-1 du CMF).

Demain, l’approche du droit européen pourrait être sensiblement différente. En effet, une proposition de directive européenne (3) vise à harmoniser les services de paiement dans le marché intérieur. Ce texte a pour objectif d’instaurer un cadre juridique nécessaire à la création d’un marché intégré des paiements, dans lequel les barrières à l’entrée de nouveaux prestataires de services seront supprimées. En pratique, le texte de la directive prévoit, outre les trois catégories actuelles de fournisseurs de moyens de paiement, la création d’une quatrième spécifique aux « établissements de paiement », qui pourrait intéresser les prestataires du paiement sans contact.

Les normes techniques

Les normes techniques du paiement sans contact reposent essentiellement sur le standard monétique EMV, une palette de spécifications internationales standardisant les échanges entre cartes à puces et terminaux.

Pour la transmission d’informations à distance entre les supports de paiement et les lecteurs sans contact, les technologies utilisent des liaisons de type optique, infrarouge, hyperfréquence ou, le plus souvent, radiofréquence (RFID sous le standard d’émission de la norme ISO/IEC 14443).

La protection du consommateur

Le consommateur accordera sa confiance à ce nouveau moyen de paiement, s’il est assuré de la sécurité de la transaction.

Qu’il y ait intervention de l’utilisateur ou non, les questions majeures portent sur l’identification de la carte ou de l’utilisateur, l’authentification de la transaction et la traçabilité de celle-ci. Au-delà d’un certain montant, le client sera invité à composer son code personnel sur le clavier du terminal ou de son téléphone.

Si la technologie RFID est utilisée, les puces émettent des ondes, dont les effets sur la santé considérés par la plupart des publications soit comme inoffensives soit pouvant présenter quelques risques, notamment par leur accumulation. Même si les effets n’ont pas encore été démontrés, le principe de précaution devrait prévaloir tant que les études ne sont pas confirmées.

L’utilisateur du paiement sans contact doit recevoir, préalablement à son utilisation, une information relative au moyen de paiement. Le fournisseur d’instrument de paiement pourra remplir ses obligations d’information dans le cadre d’un contrat préalablement établi avec celui-ci, intégrant également tous les impératifs issus du droit de la consommation.

L’approche « Informatique et Libertés »

Les systèmes de paiement sans contact, conçus pour faciliter les échanges, peuvent présenter des risques potentiels pour la vie privée en offrant de nouvelles possibilités de collecte d’informations sur les individus, y compris à leur insu. La transmission d’informations financières ou d’identification lors de la transaction représente un traitement de données à caractère personnel au sens de la loi Informatique et Libertés (4).

Le traitement sera soumis à toutes les règles prévues par ce texte et notamment les formalités déclaratives auprès de la CNIL, les obligations de sécurité, confidentialité, respect de la finalité du traitement, mention d’information des personnes, respect de leurs droits d’accès, de rectification et d’opposition.

Si la technologie s’appuie sur des puces RFID, celles-ci sont considérées comme des identifiants par la Commission Nationale de l’Informatique et Libertés (CNIL), selon un avis du 30 juin 2006. Quatre pièges qui concourent à minorer le risque que présente la technologie RFID en matière de protection des données personnelles et de la vie privée ont été identifiés par la CNIL : l’insignifiance apparente des données, la priorité donnée aux objets en apparence, la logique de mondialisation et enfin le risque de « non-vigilance » individuelle.

La mise en œuvre de la facette réglementaire Informatique et Libertés génère différentes interrogations pratiques, et notamment la transparence de collecte des informations et les moyens d’information des personnes. Comment avertir les porteurs ou utilisateurs de RFID ? Outre les mentions d’information intégrées sur les éventuels contrats de mise à disposition de la carte RFID, certaines associations recommandent l’apposition de logos sur les produits porteurs de puces.

Sabine Marcellin

Juriste d’entreprise

Chargée de cours à l’Ecole des Mines de Paris

Co-directeur de la rédaction du Guide Lamy Droit de l’Informatique et des Réseaux

(1) Environ 30 millions de carte au Japon, en Corée et à Hong Kong. Aux Etats-Unis et Canada, de 40 à 50 millions de cartes. En Europe, des développements essentiellement en Belgique, Italie et Grande-Bretagne.

(2) « Paiement sans contact. Quel environnement normatif ? », Sabine Marcellin, Revue Banque, avril 2007.

(3) Proposition de directive du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur et modifiant les directives 97/7/CE, 2000/12/CE et 2002/65/CE [COM(2005) 603 final]

(4) Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée en 2004, et directive 95/46 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et de la libre circulation de ces données.