Paiement électronique | Mars 2004


Modes de paiement électronique en Suisse et E-commerce par Internet:

En Suisse, il existe plusieurs façons de payer des biens et services achetés sur Internet. Outre les moyens de paiement utilisés dans le commerce traditionnel, plusieurs modes de paiement ont été développés ou adaptés au commerce par Internet. Cependant, tous ne répondent pas aux mêmes exigences de sécurité.

Cet article est un survol des responsabilités et précautions à prendre tant du côté de l'entreprise que du côté du consommateur, et ceci pour éviter le plus possible les problèmes et litiges liés au commerce électronique.

Modes de paiement électronique en Suisse

Avant propos

Plusieurs acteurs, processus, fonctions et infrastructures interviennent dans le cadre d'une solution de paiement électronique. Pour les besoins du dossier sur le e-paiement chacune de ces catégories est définie comme suit :

Les acteurs comprennent l'internaute, le marchand, les prestataires de services de paiement (PSP), les sociétés de carte de crédit (SCC), les prestataires de service de validation des transactions et/ou de contrôle de solvabilité.

Les processsus incluent l'ensemble des flux circulant dans le cadre d'une transaction financière de e-commerce, c'est-à-dire le processus de vérification de la validité de la carte, les demandes d'autorisation, les processus de facturation et de réconciliation, etc.

Les infrastructures renferment l'ensemble des équipements, systèmes et réseaux qui permettent le déroulement de la transaction, i.e. l'Internet, les réseaux et systèmes de l'ensemble des acteurs tels les ERP, le serveur transactionnel du marchand, etc.

Les fonctions incluent les modes de paiement, les offres additionnels, les services offerts, etc.

Les modes de paiement comprennent les possibilités offertes à l'internaute d'effectuer le paiement électronique, notamment les paiements par carte de crédit, par carte de débit, par carte à puce, par monnaie électronique, et par téléphonie, etc.

Contexte

En Suisse, il existe plusieurs moyens de payer des biens et services acquis sur Internet. On peut toujours avoir recours aux moyens de paiement utilisés dans le commerce traditionnel, mais plusieurs modes de paiement ont été développés ou adaptés au commerce par Internet. Le moyen le plus courant est le paiement par carte de crédit (sécurisé ou non). La carte de débit est aussi utilisée et semble promise à un avenir prometteur. Il y a aussi des modes de paiement développés uniquement en vue d’une utilisation électronique, c’est-à-dire la monnaie électronique gardée sur carte à puce ou sur le disque dur. Finalement, les micro-paiements réglés par téléphonie offrent beaucoup de potentiel aux opérateurs.

Critères de sécurité

Pour qu’un mode de paiement puisse être considéré comme sûr, il doit répondre à quatre exigences:

  • Authentification ou identités des parties concernées
    Les deux parties doivent pouvoir s’identifier mutuellement. Le vendeur doit s’assurer de l’identité de l’acquéreur et de sa solvabilité, et l’acquéreur doit pouvoir identifier le vendeur.
  • Non-répudiation ou certification de l’opération
    La certification de l’opération permet de démontrer que la transaction a bien eu lieu : l’acquéreur ne peut le contester et réclamer l’argent versé.
  • Intégrité des données
    Pour assurer l’intégrité de données, aucune modification ne peut être faite pendant le transfert et dès lors que la transaction financière a été validée.
  • Confidentialité des données
    L’accessibilité des données doit être limitée aux vendeur et acheteur.

La plupart des modes de paiement sur Internet ne rencontrent pas tous ces critères. Les méthodes de cryptographie ou de chiffrement contribuent à rendre les échanges de données plus sécuritaires. Le projet NESSIE financé par l’Union européenne cherche à normaliser les méthodes de cryptographie. De plus, les solutions de paiement développées par des prestataires de services de paiement PSP facilitent non seulement le rôle du commerçant mais rendent le paiement par Internet sécuritaire.

Modes de paiement sur Internet

Paiement par carte de crédit

C’est le mode de paiement le plus courant sur Internet. L’acheteur fournit au commerçant en plus de son numéro de carte de crédit, la date d’expiration de celle-ci, et éventuellement le numéro au dos de la carte CVV2/CVC2. Le commerçant transmet ces données afin de vérifier si le montant chargé est accepté. Si tel est le cas, la banque émettrice de la carte de crédit va transférer l’argent sur le compte du commerçant.

Paiement non-sécurisé : Dans le cas où les données de la carte de crédit et la date d’expiration transitent sur une page non sécurisée, elles peuvent être interceptées par n’importe qui. Même si les risques d’être interceptées restent minimes, étant donné le volume d’informations qui transite sur le net, il vaut mieux envoyer les données de manière cryptée pour une sécurité maximale.

Paiement sécurisé : C’est le cas lorsque les données sont communiquées sur une page sécurisée ou cryptée du site visité par l’internaute. Pour être sûr de faire un paiement sécurisé, il faut chercher dans la barre d’état du navigateur l’icône d’un cadenas et le « https » dans l’adresse URL sur le site du commerçant.

La méthode de chiffrement ou de cryptographie la plus épandue est le procédé SSL (Secure Sockets Layers). Elle garantit l’intégrité et la confidentialité des données durant leur transfert. Mais ces données restent connues par le commerçant qui les reçoit. Il ne garantit pas non plus l’authentification du client ni la non-répudiation.

Pour pallier ces lacunes, le secteur financier a développé le protocole SET (Secure Electronic Transaction). Mais comme cela nécessitait la mise en place par le commerçant d’un système de gestion et d’émission de certificats, et l’installation par le client d’un logiciel sur son ordinateur, le protocole SET a été abandonné en Suisse au début de 2002.

Visa et Mastercard ont depuis mis au point un système de paiement, basé sur la technologie « 3-D Secure », qui assure l’authentification du porteur et la non-répudiation. En fait après inscription auprès d’un service de sécurisation, le porteur de la carte utilise soit un mot de passe (pour Visa), soit un code (pour Mastercard) pour se faire authentifier lors de chaque transaction. Ces systèmes ne sont valables que pour les détenteurs de cartes Visa et Mastercard.

Paiement par carte de débit ou de retrait

Les cartes de débit permettent de déduire directement une dépense de son compte de chèque ou d’épargne. Elles nécessitent l’introduction d’un code PIN et l’adhésion par le client aux services bancaires en ligne de son institution financière. En fait le client effectue directement le paiement depuis son compte sur le site sécurisé de la banque. Pour le commerçant le gros avantage est qu’il n’y a pas de commission à payer comme avec les cartes de crédit et il n’y a pas risque de répudiation. Ce système n’est cependant pas encore très répandu mais est appelé à se développer. Voir [Interview avec M. Greber de Postfinance sur le e-paiement par cartes de débit Postcard]

Paiement par carte à puce

Ce système est très répandu en Europe, mais pas en Suisse, ni aux Etats-Unis. Pour pouvoir effectuer un paiement par carte à puce, le client doit avoir auparavant connecté un lecteur de carte à puce à son ordinateur et installé un logiciel sur son disque dur. Lors de paiement, le client introduit sa carte à puce dans le lecteur, et à ce moment, la connexion entre l’ordinateur et le lecteur est interrompue pour éviter les risques de détournement du code secret. Le client entre son code à quatre chiffres pour que le lecteur vérifie l’identité de l’acheteur. Un fois vérification faite, le lecteur se reconnecte et transmet l’information sur l’achat et l’utilisateur à l’ordinateur. Ces informations sont alors envoyées cryptées au commerçant. Cela garantit l’authentification et la non-répudiation du client, ainsi que la confidentialité et l’intégrité des données. Le lecteur de carte à puce est à la charge du client.

Paiement par monnaie électronique (carte à puce, E-cash)

Lors d’un achat par Internet, le client a aussi la possibilité de payer ses achats avec de la monnaie électronique. Elle peut être stockée sur une carte à puce ou sur le disque dur du titulaire. Dans ce cas, l’internaute achète des crédits auprès de sa banque qui lui remet l’argent sous forme de devises digitales cryptées. Une fois stockée sur le disque dur du consommateur, celui-ci peut alors payer les produits achetés sur le site marchand d’une société acceptant la monnaie électronique. L’organisme émetteur garantit la transaction et crédite le vendeur du montant du paiement. La monnaie électronique assure au marchand un très haut niveau de sécurité et de protection. Et en cas d’usage frauduleux dû à un défaut de l’organisme émetteur, la responsabilité revient à cet organisme.

En Suisse, le système le plus utilisé est la carte à puce E-Cash, qui est intégrée à la carte de débit EC. Le montant pouvant être chargé sur la carte à puce est cependant limité. De plus, il y a encore peu de sites commerciaux qui offrent la possibilité de payer avec la monnaie électronique.

Le paiement par téléphonie

Le paiement par téléphonie est utilisé surtout pour des transactions peu importantes. L’acheteur doit utiliser son téléphone pour appeler le numéro fourni par le commerçant sur son site internet, et le montant de l’achat apparaît sur la facture de l’abonnement du téléphone à la fin du mois. Le paiement par téléphonie permet l’authentification. Ici l’opérateur de téléphonie sert d’intermédiaire.

Solutions de paiement par un intermédiaire

Les solutions de paiement par un intermédiaire offrent en plus de la facilité à gérer les questions de paiement pour le commerçant, un moyen sûr qui répond aux critères de sécurité. L’intermédiaire ou prestataire de services de paiement (PSP) se place entre le commerçant, le client et les organismes financiers, et il se charge de vérifier en temps réel la validité de la carte de crédit, d’autoriser la transaction, et dans certains cas de procéder à l’encaissement. Le commerçant doit adhérer aux services proposés par l’intermédiaire. Lors d’un achat, l’internaute est envoyé par le commerçant sur le site de l’intermédiaire, et ce dernier effectue la demande d’autorisation à la banque de l’acheteur, qui est communiquée à l’acheteur et au commerçant.

Dans le cas de porte-monnaie virtuel, l’internaute dépose de la monnaie auprès de l’intermédiaire soit par virement, chèque ou carte de crédit, et celui-ci qui lui fournit un numéro client et un identifiant. Lors d’un achat, l’intermédiaire déduit du compte de l’internaute le montant correspondant. La création d’un porte-monnaie virtuel ne garantit pas l’authentification et la non-répudiation de l’internaute.

Les solutions de paiement par intermédiaire ajoutent cependant des frais pour les services rendus par l’intermédiaire. De plus, l’internaute est limité aux commerçants ayant adhéré à cette solution de paiement.

Pour conclure

Ce survol des modes de paiement électronique est non-exhautif. Tous ne rencontrent pas les mêmes critéres de sécurité, et plusieurs sont en constante évolution. De plus, plusieurs sites marchands se tournent vers les prestataires de services de paiement afin d’améliorer la sécurité de leur solution de e-paiement. Pour leur part, les paiements par téléphonie, du moins pour les micro-paiements, ont aussi un avenir prometteur, surtout si les opérateurs réussissent à relever les défis d’inter-opérabilité.

Sources:
Cherpillod Giacobino, Anne. Internet dans la conclusion du contrat et les solutions de paiement. La Semaine Judiciaire, No.14, 2003-II, p 393-434.
Denis Costello, Mobility & Micropayment, June 2003, dans www.epaynews.com
A Consumer’s Guide to E-Payments, Federal Trade Commission - Facts for Consumers, dans www.ftc.gov/bcp/conline/pubs/online/payments.htm



Réalisé par Béatrice Fournier

 

E-commerce par Internet: responsabilités et précautions

Les questions des droits et responsabilités du commerçant et de l’acheteur dans le cadre du commerce électronique apparaissent plutôt complexes. Le but de cet article n’est donc pas de faire le tour des lois et règlements concernant le e-commerce, mais plutôt de faire un survol des mises en garde ou précautions à prendre tant du côté de l’entreprise que du côté du consommateur, et ceci pour éviter le plus possible les problèmes liés au commerce électronique. Ce survol concerne les aspects du e-paiement, les aspects contractuels, et la protection des données personnelles, et invite les acheteurs et entreprises à bien se renseigner auprès des organismes compétents.

Contexte

Plusieurs facteurs font que le commerce sur Internet est différent du commerce traditionnel, et entraînent des responsabilités légales différentes tant chez le commerçant que le client. Sur Internet, le marchand et l’acheteur ne se rencontrent pas physiquement. L’acheteur n’a pas non plus de contact direct avec le produit qu’il achète, et ne peut s’en assurer le bon fonctionnement qu’à la livraison. Les deux parties peuvent vivre dans la même ville, mais aussi dans des pays différents, voir des continents différents. Le consommateur peut acheter directement des entreprises dans des pays autres que le sien, et ses droits peuvent donc être plus ou moins bien protégés. Le e-commerce peut aussi amener des obligations et contraintes différentes de la part des entreprises (e.g. encaissement, sécurisation des modes de paiement). Et dans le cas de transactions internationales, il faut se poser la question de la compétence des tribunaux et du droit applicable en cas de litige.

De plus, les modes de paiement par Internet varient souvent des modes traditionnels de paiement. A l’instar du paiement par carte de crédit, plusieurs changements ont dû être adoptés pour répondre au e-commerce. Lors d’un achat par carte de crédit sur Internet, il ne peut y avoir de vérification directe par le vendeur de la signature manuscrite ou de la date d’expiration. L’acheteur doit faire parvenir le numéro de sa carte et la date d’expiration au vendeur. Le danger que représente l’envoi de ces données fait que plusieurs méthodes de sécurisation ont été développées afin de répondre à des critères de sécurité et de confidentialité.

Toutes ces différences amènent à des changements et des exigeances de la part des deux parties. Les gouvernements aussi doivent apporter de nouvelles lois ou modifier les lois et règlements existants pour protéger les droits des commerçants et des consommateurs (voir www.admin.ch, www.europa.eu.int, www.eLexPortal.com, initiative Un Canada branché dans http://strategis.gc.ca). La Suisse aussi cherche à clarifier les conditions du e-commerce. A court ou moyen terme, on peut s’attendre à ce que la législation suisse se rallie à celle de l’Union Européenne.

Plusieurs sites et articles sur Internet cherchent à expliquer les droits des entreprises et des consommateurs, en Suisse et dans l’Union Européenne, notamment la brochure E-Business : cadre juridique en Europe et en Suisse, septembre 2003, présentée par L’Euro Info Centre Suisse sur le site www.osec.ch, et Ebusinesslex.net. Il ne faut pas hésiter à se renseigner auprès des organismes et autorités compétentes.

Les paiements en ligne

Pour choisir entre les modes de paiement pour les achats par Internet, l’entreprise doit tenir compte de plusieurs facteurs. Les habitudes des clients et leurs désirs entrent bien sûr en compte. Mais selon le coût global du mode de paiement, certaines solutions seront préférées. Dans le cas de marchés locaux ou nationaux, le marchand peut offrir à sa clientèle de payer par des moyens de paiement traditionnels comme les chèques bancaires ou par bulletin de versement. Dans le cas de clientèles étrangères, d’autres moyens comme les cartes de crédit seront plus appropriés. Le prix de vente des produits va influencer le choix du moyen de paiement (e.g. carte de crédit, monnaie-électronique, téléphonie mobile, etc.). De plus, jusqu’à quel point le commerçant est-il prêt à supporter les risques de perte sur débiteurs? Dans ce sens, le commerçant doit considérer avoir recours ou non au service d’un prestataire de services de paiement (PSP). Il peut ainsi se décharger de la vérification de la validité de la carte, de l’autorisation de la transaction et de l’encaissement. Plusieurs entreprises sont de plus en plus séduites par cette solution de e-paiement. Tous les moyens de paiement comportent des avantages mais aussi des risques et des coûts, pour l’entreprise et pour le client, et il vaut mieux faire un choix averti dès le départ.

Le consommateur doit aussi prendre des précautions avant de payer par Internet. Même si les risques que les données personnelles et de cartes de crédit soient interceptées sur le Web restent minimes en raison de la quantité de données circulant à tout moment sur Internet, il vaut mieux envoyer ces données de manière cryptée ou chiffrée, ou encore vérifier que le site est sécurisé, par un icône « cadenas » ou par l’adresse URL du site qui doit contenir « https ». Il faut aussi lire les conditions générales de la vente, et comprendre ce qui est à la charge du consommateur (transport, taxes…). Le consommateur devrait aussi garder dans ses dossiers toute information sur ses achats en ligne.

Rappelons aussi qu’en cas d’utilisation frauduleuse d’une carte de crédit sur Internet, que le titulaire de la carte est considéré légalement comme responsable. Mais en pratique, les organismes émetteurs de carte appliquent plutôt le régime réservé aux cas de vol de carte de crédit, et remboursent, sauf une franchise, le(s) montant (s) payés frauduleusement (voir Cherbillod-Giacolino, p.425).

Aspects contractuels

En Suisse, il n’y a pas de législation spécifique à Internet. Tout contrat conclu par Internet est soumis au droit suisse ordinaire, si applicable, et aux conventions internationales ratifiées par la Suisse.

Il semble cependant que sur Internet on présume l’existence d’un contrat conclu avec un consommateur, à moins qu’il y ait indications claires que l’acheteur est une entreprise. Le contrat conclu avec un consommateur est généralement régi par le droit de l’Etat de la résidence habituelle du consommateur. En Suisse, le consommateur bénéficient de conditions légales très protectrices.

Pour qu’un contrat sur Internet soit réputé conclu il faut qu’une des parties fasse une offre ferme (ici le consommateur) et que cette dernière soit acceptée par l’autre partie (ici le vendeur). Il vaut donc mieux pour le vendeur de répondre (par toute forme d’acceptation) à cette offre d’achat, et ceci afin d’éviter tout risque que l’acheteur se retire. Comme dans le commerce traditionnel, il est fortement conseillé de conserver les documents échangés, car en cas de litige il faut toujours apporter la preuve de ses affirmations.

L’avant-projet de loi sur le commerce électronique consiste à reviser partiellement le Code des obligations et la loi sur la concurrence déloyale. Ainsi, les contrats conclus par Internet seront assimilés aux contrats conclus à distance, et permettront la révocation du contrat par le consommateur.

Suite à des modifications du Code des obligations, le consommateur pourra exiger la réparation du bien acheté et une prolongation du délai de garantie d’un à deux ans. De plus, le vendeur aura le devoir de fournir des informations : entre autres, les coordonnées exactes d’une adresse de contact, celui de mentionner les différentes étapes techniques à suivre pour conclure le contrat, le devoir de mettre à disposition les moyens techniques permettant à la clientèle d’identifier et de corriger des erreurs commises dans la saisies des données. Le vendeur aura aussi le devoir d’informer l’acquéreur sur son nom et adresse, sur le prix du bien et du service acquis, sur les taxes à la charge de l’acquéreur, sur le délai d’exécution ainsi que sur son droit de révoquer le contrat. Le délai prévu est de 7 jours. Le droit de révocation ne devrait pas s’appliquer à des contrats pour des biens de moins de 100 francs, des biens confectionnés selon les spécifications de l’acquéreur, et autres biens ne pouvant être réexpédiés en raison de leur nature. Aussi exclus, seraient les enregistrements audio ou vidéo ou logiciels informatiques.

Naturellement, ceci n’est qu’un avant-projet de loi, mais tout porte à croire que le résultat final se rapprochera du cadre juridique de l’Union européenne. Cette dernière reconnaît aussi un droit de rétractation d’au moins 7 jours, impose des obligations d’information très strictes pour les contrats conclus à distance et des délais de garantie prolongés (voir E-Business : cadre juridique en Europe et en Suisse, p.9)

Le projet de loi sur les services de certification dans le domaine de la signature électronique, assimilerait la signature électronique qualifiée à la signature manuscrite. Dans le cadre de ce projet de loi, la signature électronique serait qualifiée si elle est basée sur un certificat émis par un fournisseur de services de certification reconnu, qui à son tour ne sera reconnu que s’il rempli les conditions définies dans le projet de loi. Au moins deux sociétés seraient à date inscrites à l’Office Fédéral de métrologie et d’accréditation : la Poste suisse et RTC Real Time Center AG. (voir le site www.osec.ch section E-business : cadre juridique).

En ce qui concerne la validité les conditions générales du contrat, il faut qu’elles soient consultables en ligne et que le client soit clairement informé, avant la commande, du fait qu’elles font partie intégrante du contrat qu’il s’apprête à conclure.

Par rapport aux pratiques déloyales, la loi fédérale suisse « interdit toute manoeuvre ou pratique commerciale trompeuse ou contraire au principe de la bonne foi pouvant affecter la relation entre le vendeur ou l’acheteur ou la concurrence ». Alors attention à ne pas porter atteinte à la réputation d’autrui, à la publicité comparative, à une utilisation de nom de domaine qui pourrait porter à confusion, aux e-mails publicitaires non sollicités (spamming), etc.

Protection des données personnelles

En ce qui concerne la protection des données, il faut prendre en considération le droit de chacun à contrôler les données le concernant (protection de la sphère privée), et le droit de celui qui traite les données. En Suisse, la loi fédérale sur la protection des données, en vigueur depuis 1993, est actuellement en révision.

Avant d’utiliser les données personnelles recueillies sur Internet il vaut mieux se renseigner sur ce qui est permis ou non de faire avec ces données (e.g. le traitement même des données, le transfert à l’étranger). Voir le site multilingue www.edsb.ch et E-Business : cadre juridique en Europe et en Suisse, p. 16. Rappelons que le citoyen a le droit de savoir comment les informations sont utilisées et d’accéder à ces informations. En fait, les données recueillies par des contacts électroniques ne peuvent être utilisées à des fins de marketing « que pour leurs propres services et produits pourvu que la personne privée et l’entreprise offrent clairement et sans ambiguïté au client la possibilité de refuser facilement et gratuitement ces contacts électroniques ».

Pour conclure

Toutes ces questions reliées au commerce électronique devraient encourager tous les commerçants et consommateurs à bien se renseigner sur les précautions à prendre pour éviter des ennuis et des litiges. Quelques précautions prises en amont, tant de la part du commerçant que de celle de l’internaute, peuvent éviter beaucoup de problèmes. De plus, les législations suisse et de l’Union européenne semblent aller dans la même direction, ce qui devrait faciliter la tâche des commerçants.

Sources:
Cherpillod Giacobino, Anne. Internet dans la conclusion du contrat et les solutions de paiement. La Semaine Judiciaire, No.14, 2003-II, p 393-434.
Denis Costello, Mobility & Micropayment, June 2003, dans www.epaynews.com
A Consumer’s Guide to E-Payments, Federal Trade Commission - Facts for Consumers, dans www.ftc.gov/bcp/conline/pubs/online/payments.htm



Réalisé par Béatrice Fournier


dossier préparé par:


Pierre Bezençon, Michel Fischer, Béatrice Fournier