NOTE DE SYNTHESE
La
sécurité des transactions réalisées par carte
bancaire est assurée à la fois par des dispositions juridiques et
par des mesures techniques.
Ainsi, en France, plusieurs articles de la
loi n ° 2001-1062 du
15 novembre 2001 relative à la sécurité quotidienne
ont introduit dans le code monétaire et financier de nouvelles
dispositions destinées à garantir la sécurité
des paiements faits par carte
.
En effet, cette loi charge expressément la Banque de France
d'«
assurer la sécurité des moyens de
paiement
» et institue l'Observatoire de la
sécurité des cartes de paiement. De plus, elle élargit les
cas où le titulaire d'une carte peut faire opposition, définit
les responsabilités respectives du titulaire et de
l'établissement émetteur en cas de perte, de vol ou d'utilisation
frauduleuse d'une carte et facilite la sanction de tous les actes
préparatoires à la fraude, en les érigeant en infraction
spécifique.
Indépendamment de ce dispositif juridique, la
généralisation de la carte à puce, le développement
du cryptage des informations utilisées pour les paiements en ligne et
l'introduction de programmes de recoupement dans les centres d'autorisation de
transaction constituent autant de moyens techniques permettant
d'améliorer la sécurité des transactions
réalisées par carte.
La présente étude examine
les principales dispositions d'ordre
juridique adoptées par plusieurs pays européens
(Allemagne, Belgique, Danemark, Espagne et Royaume-Uni) pour garantir la
sécurité des transactions réalisées par carte
.
Elle analyse donc les
mesures législatives et
réglementaires
prises à cet effet en les classant en quatre
catégories : les dispositions générales relatives aux
établissements financiers, celles qui encadrent les relations entre ces
établissements et les titulaires de cartes bancaires, celles qui
définissent les conditions que chacune des transactions
réalisées par carte bancaire doit remplir, et les mesures
pénales prises pour lutter contre la fraude.
Elle analyse également les
mesures d'ordre déontologique mises
en oeuvre par les établissements financiers et par les autres
professionnels
. En effet, si par exemple les codes de bonne conduite n'ont
aucun caractère contraignant, ils peuvent constituer, notamment au
Royaume-Uni, un élément important de la réglementation,
incluant notamment des éléments qui relèvent de la loi
dans d'autres pays.
La recherche de la sécurité maximale constitue une
préoccupation commune à tous les pays étudiés, mais
les moyens mis en oeuvre pour y parvenir varient beaucoup.
L'analyse révèle en effet que la transposition de la directive
97/7 du 20 mai 1997 concernant la protection des consommateurs en
matière de contrats à distance et la prise en compte de la
recommandation de la Commission européenne 97/489 du 30 juillet 1997
concernant les opérations effectuées au moyen d'instruments de
paiement électronique ont entraîné une
relative
uniformisation des règles de responsabilité des titulaires de
cartes bancaires, ainsi que l'introduction dans les différents droits
nationaux d'un délai de rétractation
, qui vise en particulier
les achats réglés par carte bancaire.
En revanche
, les autres dispositions
adoptées pour garantir la
sécurité des transactions réalisées par carte
bancaire
diffèrent, tant par leur
nature,
strictement
juridique (lois et règlements) ou d'ordre plutôt
déontologique (codes de bonne conduite des établissements
financiers, labellisation des sites Internet garantissant la
sécurité des paiements),
que par
leur contenu
(amélioration de l'information des titulaires de cartes, création
d'infractions pénales spécifiques...).
1) L'uniformisation entraînée par la transposition de la
directive 97/7 et par la prise en compte de la recommandation 97/489
a) Les règles de responsabilité
Tous les pays sous revue ont adopté des règles de
responsabilité qui protègent les titulaires de cartes bancaires
et donc les mettent en sécurité :
en règle
générale, l'utilisation frauduleuse de la carte bancaire n'a de
conséquences pour les titulaires que s'ils ont fait preuve de
négligence,
par exemple en notant leur numéro de code
confidentiel à proximité de la carte. Dans les autres cas, leur
responsabilité n'est engagée que jusqu'à un certain
plafond, qui varie de 50 à 150 €.
b) Le délai de rétractation
La transposition de la directive 97/7 a entraîné l'introduction
d'un délai de rétractation en cas d'achat à distance.
Fixé par la directive à sept jours, il est plus
élevé dans deux des cinq pays étudiés, l'Allemagne
et le Danemark, qui l'ont porté à quatorze jours. Si cette mesure
ne vise pas spécifiquement la carte bancaire, elle est cependant
importante pour développer la confiance des consommateurs, dans la
mesure où la carte bancaire constitue un moyen commode de régler
les achats effectués à distance.
2) L'extrême diversité des autres mesures
a) Des mesures de nature diverse
L'Allemagne, la Belgique et le Danemark s'appuient surtout sur des mesures
législatives, à la différence de l'Espagne et du
Royaume-Uni, qui insistent sur les « bonnes pratiques » des
établissements financiers.
De plus, si
la Belgique et le Danemark ont récemment adopté
des lois
sur les moyens de paiement électronique
, qui
s'appliquent en particulier aux transactions réalisées par carte
bancaire, ce n'est pas le cas de l'Allemagne, où des dispositions
très générales, telles celles du droit des contrats, sont
considérées comme suffisantes.
Au Royaume-Uni, les banques adhèrent à un code de bonne conduite
national, qui comprend des mesures visant à garantir la
sécurité de la carte bancaire. En revanche, en Espagne, les
établissements financiers se réfèrent au code de bonne
conduite du secteur bancaire européen 14 novembre 1990 relatif
aux
systèmes
de paiement par carte, ainsi qu'à la
recommandation concernant les opérations effectuées au moyen de
paiement électronique émise en 1997 par la Commission
européenne.
b) Des mesures de contenu divers
L'exemple du Danemark et du Royaume-Uni, qui ont retenu des approches
opposées, illustre cette diversité.
Le premier fait reposer l'essentiel de son dispositif de lutte contre la fraude
aux cartes bancaires sur la prévention.
L'information des
détenteurs de cartes bancaires est très développée
et l'
ombudsman
des consommateurs veille à ce que les
établissements financiers respectent les obligations que la loi leur
impose, notamment en matière d'information des clients et de
sécurité des procédures de paiement.
En revanche,
le Royaume-Uni
, où la fraude par copie de la piste
magnétique des cartes bancaires constitue un réel fléau,
concentre une partie de ses efforts sur la lutte contre la
criminalité informatique
. Ainsi, une force de police
spécialisée dans la lutte contre les infractions commises
grâce à Internet a été créée en 2000.
Elle est notamment compétente pour les fraudes à la carte
bancaire. En 2002, l'APACS, association qui regroupe la plupart des
établissements financiers, a contribué, en collaboration avec le
ministère de l'Intérieur, à la création d'un corps
de police spécialisé dans la lutte contre la fraude aux moyens de
paiement. Cette unité, financée à hauteur de 75 % par
l'APACS, rassemble des officiers de police et des experts bancaires.
* *
*
Dans tous les pays étudiés, les résultats obtenus en France grâce à la technologie de la puce sont vantés. Ces remarques convergentes permettent de conclure que, à l'intérieur d'un cadre juridique visant à garantir la sécurité maximale des transactions réalisées par carte bancaire, c'est aux établissements financiers qu'il appartient de prendre les mesures techniques nécessaires, notamment préventives . C'est d'ailleurs ce que font les principaux réseaux de cartes bancaires avec l'introduction progressive de la carte à puce dans tous les pays de l'Union européenne d'ici le 1 er janvier 2005.