Article

Observations, R.D.C.-T.B.H., 2010/2, p. 120-123

BANQUE ET CREDIT
Opérations bancaires - Carte bancaire - Carte de crédit - Internet - Contrat à distance - Usage frauduleux
La loi du 17 juillet 2002 relative aux opérations effectuées au moyen d'instruments de transfert électronique de fonds n'est d'application qu'entre un titulaire de carte et un émetteur de carte.
Tout commerçant connaît ou doit connaître les risques concernant les transactions par Internet, dès lors qu'il utilise un système de paiement par carte de crédit.
Le code d'autorisation donné par l'acquéreur n'est pas une reconnaissance absolue de la validité de la transaction ni une garantie certaine de paiement dès lors que l'acquéreur n'est pas en mesure de vérifier que la carte a effectivement été utilisée par son titulaire légitime.
Il est normal que ce soit le commerçant qui, lorsqu'il décide d'accepter un paiement par carte sans la présence physique du titulaire de la carte et, partant, en se privant de la possibilité de faire les vérifications requises et d'obtenir la signature de l'intéressé sur la facturette, supporte le risque d'une malveillance de son client contre lequel il lui appartient, le cas échéant de se retourner.
BANK EN KREDIETWEZEN
Bankverrichtingen - Bankkaart - Kredietkaart - Internet - Contracten op afstand - Frauduleus gebruik
De wet van 17 juli 2002 betreffende de elektronische overmaking van geldmiddelen is enkel toepasselijk tussen de kaarthouder en de uitgever van de kaart.
Elke koopman kent of moet de risico's kennen die verbonden zijn aan verrichtingen via het Internet, wanneer hij het systeem van betaling via een kredietkaart gebruikt.
De toegangscode die de verkrijger verschaft vormt geen absolute erkenning van de geldigheid van de verrichting en is ook geen waarborg van betaling aangezien de verkrijger niet kan nagaan of de kaart effectief door de rechtmatige houder is gebruikt.
Wanneer een handelaar een betaling per kaart aanvaardt zonder de fysieke aanwezigheid van de titularis ervan, en zich bijgevolg de mogelijkheid ontneemt om het vereiste nazicht door te voeren en de handtekening van de titularis op het ontvangststrookje te verkrijgen, is het normaal dat deze koopman het risico draagt voor de kwaadwilligheid van zijn klant-opdrachtgever, tot wie hij zich desgevallend zal moeten richten.

Un paiement par carte implique l'intervention de différentes parties [1]:

    • l'émetteur de la carte (qui peut être ou non la banque dans laquelle le titulaire de la carte a ouvert un compte);
    • l''acquéreur' (acquirer) qui conclut un contrat de prestation de services avec un commerçant (BCC/Atos, dans le cas d'espèce);
    • le titulaire de la carte;
    • le commerçant bénéficiaire du paiement par carte;
    • la banque du titulaire (qui peut être ou non l'émetteur) et celle du commerçant;
    • les différentes banques intermédiaires;
    • les processeurs de systèmes (le processing pouvant être assuré ou non par l'acquéreur lui-même).

    En cas d'utilisation régulière de la carte, et si certaines conditions sont respectées, le commerçant a la garantie d'être payé. C'est l'émetteur de la carte qui au final garantit la bonne fin de l'opération, cette garantie s'exécutant en cascade, par le fait d'adhésions successives au système par les différentes parties: l'acquéreur garantit le commerçant et est lui-même garanti par l'émetteur lequel se rembourse par débit du compte de son client ou auprès de la banque chez qui le paiement est domicilié.

    Lorsqu'un paiement par carte est initié, l'acquéreur - le cas échéant à l'intervention du processeur du système si l'acquéreur ne remplit pas lui-même ce rôle - opère certaines vérifications et autorise la transaction. Il crédite ensuite le compte du bénéficiaire du montant de la transaction autorisée et se fait rembourser par l'émetteur.

    Les relations entre parties sont contractuelles. Elles s'inscrivent par ailleurs dans un ensemble de règles qui font partie intégrante des contrats, sous le contrôle d'une organisation responsable du schéma de paiement [2].

    La bonne fin de l'opération suppose, en principe, que soient respectées différentes techniques de sécurisation [3]:

      • certification du terminal utilisé et en particulier de son module de sécurité;
      • authentification du marchand et de l'acquéreur et intégrité du système;
      • authentification de la carte (piste magnétique, puce électronique, …);
      • authentification du porteur de la carte (par signature d'un voucher ou utilisation d'un code secret, …).

      Dans le cadre d'une opération de paiement classique effectuée par le titulaire de la carte sur un terminal de paiement installé chez un commerçant, le titulaire de la carte est physiquement présent, il est donc possible de lui demander de signer un ticket relatif à l'opération ou de lui faire introduire son code secret.

      Il n'en va pas de même lors de ventes à distance via Internet par exemple.

      En pareille hypothèse, il peut être pallié à l'absence de contact 'face to face' par le recours à la signature électronique [4] ou à de nouveaux procédés de sécurisation (3D Secure proposé par Visa et MasterCard par exemple) qui visent à n'autoriser une transaction qu'après authentification du porteur.

      En dehors de l'utilisation de ces nouvelles technologies d'authentification, d'autres vérifications tendent à limiter les risques sans toutefois les éliminer.

      Ainsi, dans le cas qui fait l'objet de la présente note d'observation, le vendeur se limitait à demander le numéro de la carte et sa date d'expiration. Ces données étaient transmises à BCC qui vérifiait l'absence d'opposition notifiée par le titulaire en raison d'une perte ou d'un vol de la carte et le fait que la transaction n'excédait pas les limites du crédit lié à la carte. Dans la mesure où ces vérifications ne révélaient pas d'obstacle, une autorisation - ou une “non-opposition” - était envoyée au vendeur. Les vérifications opérées ne permettaient toutefois pas de s'assurer de ce que l'utilisateur de la carte dans le cadre de l'opération considérée était bien le titulaire légitime de ladite carte.

      Les responsabilités en cas d'utilisation frauduleuse d'une carte de paiement ou de crédit sont actuellement régies en Belgique par la loi du 17 juillet 2002 relative aux opérations effectuées au moyen d'instruments de transfert électronique de fonds [5] (loi ITEF).

      Cette loi met différentes obligations à charge respectivement du titulaire de la carte et de l'émetteur [6].

      L'émetteur - défini [7]comme “toute personne qui, dans le cadre de son activité commerciale, met un instrument de transfert électronique de fonds à la disposition d'une autre personne conformément à un contrat conclu avec celle-ci” - doit notamment [8] informer régulièrement le titulaire sur les opérations réalisées au moyen de l'instrument de transfert électronique de fonds; - lui donner la possibilité de vérifier ces opérations; et - fournir périodiquement au titulaire des conseils de prudence destinés à éviter tout usage abusif. L'émetteur doit également [9] - garantir le secret du numéro d'identification ou code d'identification du titulaire; - mettre à la disposition de ce dernier les moyens appropriés lui permettant de notifier le vol ou la perte de l'instrument ou l'imputation sur son relevé de compte de toute opération effectuée sans son accord et plus généralement, toute erreur ou irrégularité constatée dans ledit relevé; et - empêcher toute utilisation de l'instrument de transfert électronique de fonds après notification de la perte ou du vol par le titulaire.

      Le titulaire doit [10] prendre des précautions raisonnables pour assurer la sécurité de l'instrument de transfert électronique de fonds et des moyens qui en permettent l'utilisation. Il doit notifier dès qu'il en a connaissance à l'émetteur la perte ou le vol de l'instrument, les opérations non autorisées dont il a constaté l'imputation sur son extrait de compte et toute irrégularité constatée sur ledit extrait.

      Jusqu'à la notification, le titulaire de la carte est responsable des conséquences liées à sa perte ou son vol à concurrence d'un maximum de 150 EUR seulement, à moins qu'il n'y ait eu de sa part fraude ou négligence grave auquel cas ce plafond n'est pas applicable [11].

      Après la notification et sauf si l'émetteur apporte la preuve de ce que le titulaire a agi frauduleusement, ce dernier n'est plus responsable de rien [12].

      La loi du 17 juillet 2002 ne règle pas les relations entre acquéreur [13] et commerçant et ne protège pas le commerçant en cas d'utilisation frauduleuse de la carte. Seul le titulaire de la carte est protégé par son droit à obtenir le remboursement des opérations frauduleuses dans les limites prévues par la loi.

      Les relations entre acquéreur et commerçant sont régies exclusivement par le contrat qu'ils ont conclu, les conditions générales relatives à ce contrat et les principes généraux du droit des obligations.

      De tels contrats opèrent une distinction très nette entre l'hypothèse d'un paiement effectué dans le cadre d'un système sécurisé - signature manuscrite ou électronique ou utilisation d'un code ou procédé d'identification - et les cas où il n'est pas possible de s'assurer de ce que l'identité de l'utilisateur de l'instrument de paiement coïncide avec celle du titulaire de cet instrument: cas de vente à distance où seuls le numéro et la date de validité de la carte sont communiqués.

      Dans le premier cas, le commerçant est en principe sauf fraude ou négligence de sa part protégé par la garantie de paiement à laquelle tant l'émetteur que l'acquéreur se sont contractuellement engagés.

      Les efforts consentis par la doctrine pour faire entrer cette garantie de paiement dans le cadre d'une des figures classiques du droit des obligations nous paraissent aussi inutiles qu'insatisfaisants dans leurs résultats.

      La majorité des auteurs [14] qui se sont exprimés sur le sujet y voient l'application d'un mécanisme de délégation imparfaite dans lequel le titulaire de la carte serait délégant, l'acquéreur délégué et le commerçant délégataire [15]. Cette analyse nous semble erronée en considération tant des relations - ou de l'absence de relation - entre les parties en présence que de la volonté exprimée par celles-ci. Dans la mesure où il n'existe pas de relation contractuelle directe entre le titulaire de la carte et l'acquéreur, comment imaginer que le titulaire, considérant l'acquéreur comme son débiteur lui demande de s'engager envers le commerçant créancier? En fait, le titulaire de la carte ignore même, dans la majorité des cas, dans quelle mesure le fournisseur est garanti [16]. Ce n'est, comme rappelé ci-dessus, que par une cascade d'engagements bilatéraux et d'adhésions successives au système, que le solde du compte du titulaire ou l'ouverture de crédit dont il dispose auprès de sa banque sert à apurer le paiement.

      L'exercice est au surplus totalement vain, les contrats passés entre parties délimitant soigneusement tant les droits et obligations réciproques que les responsabilités encourues, de manière telle que la qualification juridique de ces contrats est sans utilité pratique.

      Ce qui est certain, c'est que dans l'hypothèse où un commerçant se contente de la communication du numéro de la carte et de sa date d'expiration sans recourir à un procédé d'identification sécurisé du titulaire, l'acquéreur se réserve contractuellement le droit de redébiter le compte du commerçant en cas de contestation de l'opération par le titulaire de la carte.

      Cette clause contractuelle est du reste dans la logique de la loi du 17 juillet 2002 puisque ladite loi exclut expressément toute responsabilité du titulaire lorsque l'instrument de transfert électronique de fonds a été utilisé sans présentation physique et sans identification électronique [17]. En pareille hypothèse et en cas de contestation de l'opération par le titulaire de la carte, l'émetteur a l'obligation de recréditer immédiatement le compte du titulaire. Il redébitera donc corrélativement le compte de l'acquéreur qui à son tour se retournera contre le commerçant.

      En l'absence de présentation physique ou d'identification électronique, les avenants 'mail orders (MO)' et 'telephone orders (TO)' limitent certains risques en assurant certaines vérifications quant à l'absence de vol ou de perte notifiée et quant aux limites de validité et de crédit lié à la carte mais rien de plus. Les contrats sont clairs sur ce point.

      La cour d'appel ne s'y est pas trompée. Dans la décision commentée, la cour, d'une part rejette à bon droit toute référence à la loi du 17 juillet 2002 qui comme nous l'avons rappelé ne s'applique que dans les relations entre titulaire et émetteur de carte - ce que l'acquéreur n'est pas - d'autre part, constate que l'acquéreur n'a en l'espèce commis aucune faute ou manquement à son devoir d'information ou de conseil ni à l'obligation d'exécution de bonne foi des conventions.

      La cour souligne que le code d'autorisation donné par l'acquéreur n'est pas une reconnaissance absolue de la validité de la transaction ni une garantie certaine de paiement dès lors que l'acquéreur n'est pas en mesure de vérifier que la carte a effectivement été utilisée par son titulaire légitime et considère comme normal que ce soit le commerçant qui supporte le risque d'une malveillance de son client - contre lequel il lui appartient de se retourner - dès lors que c'est lui qui a décidé d'accepter un paiement par carte sans présence physique du titulaire, se privant ainsi de la possibilité d'opérer les vérifications requises et d'obtenir la signature de l'intéressé.

      Le fait que le commerçant n'ait lui-même commis aucune faute dans l'exécution du contrat est irrelevant puisque l'objet même du contrat exclut toute garantie de paiement en cas de contestation de l'opération par le titulaire de la carte et autorise expressément l'acquéreur à re-débiter, en pareil cas, le compte du commerçant.

      Cette décision est conforme à la jurisprudence antérieure de la cour [18]. Elle a depuis été encore confirmée par une décision du 10 mars 2009 [19].

      L'entrée en vigueur de la Directive PSD [20] modifiera-t-elle la donne en ce qui concerne le sort du commerçant bénéficiaire de paiement [21]?

      Le champ d'application de la directive PSD est plus large que celui de la loi du 17 juillet 2002 puisque, au lieu de se limiter à l'émetteur et au titulaire des instruments de transfert électronique de fonds, elle vise tout utilisateur de services de paiement et tout prestataire de services de paiement.

      L'utilisateur de services de paiement est défini à l'article 4(10) de la directive comme “toute personne physique ou morale qui utilise un service de paiement en qualité de payeur ou de bénéficiaire, ou des deux”.

      Quant aux services de paiement, il s'agit de toute activité exercée à titre professionnel énumérée dans l'annexe de la directive et parmi lesquelles figure expressément l'acquisition (acquiring) d'instruments de paiement [22].

      Toutefois, la directive vise les opérations de paiement autorisées par le payeur.

      L'article 54 de la directive stipule à propos du consentement relatif à une opération de paiement que “les états membres veillent à ce qu'une opération de paiement ne soit réputée autorisée que si le payeur a donné son consentement”, ce consentement étant donné “sous la forme convenue entre le payeur et son prestataire de services de paiement”.

      L'instrument de paiement est par ailleurs défini à l'article 4(23) de la directive comme “tout dispositif personnalisé et/ou ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement auquel l'utilisateur de services de paiement a recours pour initier un ordre de paiement.” Cette disposition renvoie donc à la liberté contractuelle pour définir le dispositif personnalisé ou les procédures qui doivent permettre l'exécution d'un ordre de paiement. C'est entre l'utilisateur et le prestataire de services avec lequel il est en relation que le dispositif ou les procédures en questions doivent être convenues. Rappelons qu'à ce niveau, il n'existe aucune relation directe entre le titulaire de carte qui initie un ordre de paiement et l'acquéreur.

      En cas d'opération non autorisée, c'est le payeur seul qui est protégé par les dispositions de la directive.

      En vertu de l'article 59 de la directive, “les Etats membres exigent que lorsque l'utilisateur de services de paiement nie avoir autorisé une opération de paiement…il incombe à son prestataire de services de paiement de prouver que l'opération a été authentifiée [23] et en vertu de l'article 60, “les Etats membres veillent à ce qu'en cas d'opération de paiement non autorisée, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de cette opération”.

      En cas d'opération de paiement initié par ou via le bénéficiaire du paiement [24], la responsabilité de son prestataire de services à son égard se limite à la transmission de l'ordre de paiement au prestataire de services de paiement du payeur dans les délais convenus entre eux [25], à la mise à disposition des fonds immédiatement après leur réception et au respect d'une date valeur qui “ne peut être postérieure à celle du jour ouvrable au cours duquel le montant de l'opération de paiement est crédité sur le compte du prestataire de services de paiement du bénéficiaire” [26]. Enfin, le prestataire de services du bénéficiaire doit en tout état de cause “s'efforcer, à la demande du bénéficiaire, de retrouver la trace de l'opération de paiement” non exécutée ou mal exécutée “et de notifier le résultat de sa recherche au bénéficiaire” [27].

      Notons enfin qu'en vertu de l'article 51 de la directive, lorsque l'utilisateur du service de paiement (payeur ou bénéficiaire) n'est pas un consommateur, les parties peuvent décider d'écarter, en tout ou en partie toute une série de dispositions de la directive et notamment l'article 75.

      Pour toutes les questions non réglées par la directive ou pour celles à propos desquelles l'application des dispositions de la directive a été valablement écartée, c'est aux parties qu'il appartient de régler leur relation. Ce sera notamment le cas sur le point de savoir qui, du prestataire de services de paiement ou du bénéficiaire du paiement, supporte les risques d'utilisation frauduleuse de l'instrument de paiement, dans quelles limites et selon quelles conditions.

      Rien dans le projet de loi relatif aux services de paiement qui transpose en droit belge les dispositions de la directive PSD ne permet de penser que le législateur belge s'écartera sur les points qui viennent d'être évoqués, du prescrit de la directive.

      Tout porte donc à croire que le commerçant qui accepte un paiement par carte sans présence physique du titulaire et sans recourir à un système de signature sécurisé continuera à en supporter les risques.

      Martine Delierneux et Jean-Pierre Buyle
      [1] Cette décision est également publiée au DAOR 2009, p. 167 avec les observations de A. Vandoolaeghe, “Het aanvaarden van kredietkaarten: een gevaarlijke onderneming voor handelaar?”.
      [2] Voy. pour une architecture plus complète des paiements par carte dans l'environnement belge: P. Bellens,Aspects généraux du paiement électronique par carte bancaire” in Aspects juridiques du paiement électronique - Juridische aspecten van elektronische betaling, T. I, Banksys, Kluwer, 2004, pp. 23 et s.
      [3] Et détentrice de la marque Visa, MasterCard, etc.
      [4] J.-P. Buyle et O. Creplet, “La responsabilité des gestionnaires des systèmes de paiement électronique, appréciée dans le contexte global de ceux-ci” in Aspects juridiques du paiement électronique - Juridische aspecten van elektronische betaling, T. II, Banksys, Kluwer, 2004, pp. 42 et s.
      [5] E. Roger France et E. De Groote, “La valeur probante des signatures électroniques - Réseaux fermés, réseaux ouverts et opérations effectuées au moyen d'instruments de transfert électronique de fonds” in Aspects juridiques du paiement électronique - Juridische aspecten van elektronische betaling, T. III, Banksys, Kluwer, 2004, pp. 133 et s.
      [6] MB 17 août 2002; M. Gustin, “La loi du 17 juillet 2002 relative aux opérations effectuées au moyen d'instruments de transfert électronique de fonds” in Aspects juridiques du paiement électronique - Juridische aspecten van elektronische betaling, T. III, Banksys, Kluwer, 2004, pp. 67 et s.; R. Steennot; “De wet betreffende de transacties uitgevoerd met instrumenten voor de elektronische overmaking van geldmiddelen”, Dr.banc.fin. 2002, pp. 255 et s. et A. Salaun, “Une nouvelle pierre à l'édifice de protection des consommateurs: la loi sur les instruments de transfert électronique de fonds”, JT 2003, pp. 205 et s.
      [7] T. Lambert, “La loi du 17 juillet 2002 relative aux opérations effectuées au moyen d'instruments de transfert électronique de fonds”, RDCB 2003, pp. 573 à 588.
      [8] A l'art. 2 de la loi du 17 juillet 2002.
      [9] Art. 5 de la loi du 17 juillet 2002.
      [10] Art. 6 de la loi du 17 juillet 2002.
      [11] Art. 8 de la loi du 17 juillet 2002.
      [12] Art. 8 § 2 de la loi du 17 juillet 2002.
      [13] Art. 8 § 2 de la loi du 17 juillet 2002.
      [14] L'acquéreur lui-même n'est pas visé par la loi puisqu'il ne s'agit pas de la contrepartie directe du titulaire de l'instrument de transfert électronique de fonds: Exposé des motifs de la loi du 17 juillet 2002, Trav.parl. Chambre 2000-01, n° 1389/001, 11-12.
      [15] Notamment, R. Steennot, Elektronisch betalingsverkeer - Een toepassing van de klassieke principes, Anvers, Intersentia, 2002 p. 156 et réf. citées.
      [16] Sur l'application de ce mécanisme aux transferts électroniques de fonds et sur les limites que présente une telle analyse, voy. notamment X. Thunis, Responsabilité du banquier et automatisation des paiements, Presses Universitaires de Namur, 1996, pp. 101 et s.
      [17] F. Grua, Contrats bancaires, T. I, Paris, Economica, 1990, p. 177.
      [18] Art. 8 § 4 de la loi du 17 juillet 2002. Voir également F. De Clippele, “Qui va payer? Ou questions quant à la responsabilité de l'émetteur de carte en cas de transfert électronique de fonds”, Aspects juridiques du paiement électronique - Juridische aspecten van elektronische betaling, T. III, Banksys, Kluwer, 2004, pp. 39 et s. en particulier p. 56.
      [19] Bruxelles 19 décembre 2006, RG 2004/AR/1715 et Bruxelles décembre 2007, RG 2005/AR/1411.
      [20] Bruxelles 10 mars 2009, Dr.banc.fin. 2009, p. 173 avec les observations de R. Steennot.
      [21] Directive 2007/64/CE du Parlement et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, JO L. 319 du 5 décembre 2007, pp. 0001 à 0036. Transposée en droit belge par la loi du 10 décembre 2009, MB 15 janvier 2010, entrée en vigueur le 1er avril 2010.
      [22] Voy. à ce propos, G. Hennard, ”L'exécution d'opérations de paiement non autorisées et l'inexécution ou l'exécution incorrecte d'opérations de paiement - Analyse des dispositions de la PSD et comparaison avec le droit belge en vigueur”, Dr.banc.fin. 2009, pp. 3 à 21.
      [23] Art. 4(3) et annexe point 5 de la directive.
      [24] L'art. 4(19) définit l'authentification comme étant “la procédure permettant au prestataire de services de paiement de vérifier l'utilisation d'un instrument de paiement donné, y compris ses dispositifs de sécurité personnalisés”.
      [25] Art. 75 (2) de la directive.
      [26] Art. 69 (3).
      [27] Art. 73 de la directive.
      [28] Art. 75 de la directive.