Sécurité des paiements sur internet

Question de M. COURTEAU Roland (Aude - SOC) publiée le 17/01/2013

M. Roland Courteau expose à Mme la ministre déléguée auprès du ministre du redressement productif, chargée des petites et moyennes entreprises, de l'innovation et de l'économie numérique, que la sécurité des paiements sur internet pose problème. Il lui indique qu'à l'heure du numérique, les paiements sur internet sont en forte augmentation et représentent près de 6 % des transactions effectuées, et plus de 30 % de la fraude.

Ainsi se pose la question d'une nécessaire harmonisation des dispositifs au niveau européen, dans le but d'assurer une sécurité maximale aux consommateurs et ce, dès lors que chaque banque utilise son propre système.

Il lui demande quelles initiatives elle entend prendre.

Publiée dans le JO Sénat du 17/01/2013 - page 116

Transmise au Ministère de l'économie et des finances

Réponse du Ministère de l'économie et des finances publiée le 07/02/2013

Les opérations frauduleuses sur les cartes bancaires font l'objet d'un encadrement juridique très strict qui permet au porteur de la carte de ne pas voir sa responsabilité engagée. Le code monétaire et financier prévoit en effet qu'en cas d'opération non autorisée (perte, vol, détournement, y compris utilisation frauduleuse à distance et contrefaçon) et avant opposition, la responsabilité du porteur n'est pas engagée. Par conséquent, lorsqu'un client nie avoir autorisé une opération, il incombe à son prestataire de services de paiement (PSP) de prouver que l'opération en question a été authentifiée. En effet, le PSP distinguera les utilisations frauduleuses effectuées sans usage du code (susceptibles d'engager la responsabilité du titulaire de la carte à hauteur de 150 euros) des utilisations frauduleuses effectuées avec usage du code (engageant alors la responsabilité du titulaire à hauteur du plafond des opérations précisé dans le contrat qui lie les deux parties). En tout état de cause, l'utilisation même de la carte, telle qu'enregistrée par le PSP, ne suffit pas en tant que telle à prouver que l'opération a été autorisée par le payeur, ni même que celui-ci a fait preuve de négligence. Quand la fraude est constatée, le prestataire de service de paiement doit rembourser les sommes débitées et, le cas échéant, rétablir le compte dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu, dès que le titulaire de la carte lui a signalé cette opération. Ces dispositions cessent toutefois de s'appliquer s'il s'avère que le porteur de la carte a agi de manière frauduleuse ou s'il n'a pas satisfait de manière intentionnelle ou par négligence grave à ses obligations de sécurité. Outre le régime juridique évoqué qui protège les utilisateurs de cartes, la sécurisation des transactions par carte bancaire est une préoccupation continue des pouvoirs publics qui souhaitent promouvoir des moyens de paiements rapides, efficaces et surtout sûrs. Ainsi, en France, plusieurs articles de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne ont introduit dans le code monétaire et financier de nouvelles dispositions destinées à garantir la sécurité des paiements effectués par carte. Cette loi charge expressément la Banque de France « d'assurer la sécurité des moyens de paiement » et institue l'observatoire de la sécurité des cartes de paiement. Cet observatoire adresse chaque année un bilan annuel sur les taux de fraude constatés sur les transactions par carte, tant à distance qu'en face à face, au niveau national comme au niveau international. Le rapport pour l'année 2011 met en évidence une légère augmentation (0,077 %) pour la quatrième année consécutive du taux de fraude global qui représente un montant total de 413,2 millions d'euros (contre 0,074 % et 368,9 millions d'euros en 2010). Alors que la fraude à l'international est en léger recul, cette hausse s'exprime au niveau national, d'une part, sur les paiements de proximité (0,015 % contre 0,012 % en 2010) principalement liés aux vols de carte avec code confidentiel et, d'autre part, sur les paiements à distance, notamment sur le canal internet. Ces paiements à distance représentent un taux de fraude de 0,321 % soit 129,6 millions d'euros tout confondu ; alors qu'ils comptent pour 8,4 % de la valeur des transactions nationales, ils représentent ainsi pour 61 % du montant de la fraude. Parmi ces paiements à distance, l'analyse des chiffres pour 2011 démontre une augmentation plus modérée pour les paiements réalisés par courrier ou téléphone, alors que le taux de fraude sur les paiements via internet continue effectivement d'augmenter (0,341 %). Le rapport fait néanmoins état de réelles avancées en matière de sécurisation des opérations de paiement par carte bancaire via internet mais constate que seulement 23 % des transactions de paiement par ce vecteur sont sécurisées par des dispositifs d'authentification « non rejouable » tels la technologie « 3D-Secure » mise en place depuis le 1er octobre 2008, et qui constituent un contrôle supplémentaire lors d'un achat en ligne en complément des données bancaires. Cette sécurisation du paiement pour le titulaire de la carte garantit en outre la responsabilisation de la banque émettrice qui, si elle a admis l'authenticité du paiement, devient seule responsable en cas d'impayé. Ainsi, le déploiement croissant de ce procédé auprès des e-commerçants des sites les plus fréquentés reste une priorité pour l'observatoire de la sécurité des cartes de paiement qui recommande fortement l'adoption la plus large possible de ces dispositifs d'authentification par ces acteurs afin de sécuriser les paiements les plus risqués. Au demeurant, ces recommandations rejoignent totalement les conclusions du rapport de MM. Pauget et Constans sur l'avenir des moyens de paiement en France ainsi que celles du projet de rapport du forum européen sur la sécurité des moyens de paiement (SecuRe Pay) lesquelles préconisent toutes la généralisation de l'authentification « non rejouable » du porteur en fonction du risque de la transaction lors d'un paiement sur internet, au niveau européen. Par ailleurs et plus largement, pour la deuxième année consécutive, l'observatoire est en mesure de distinguer les taux de fraude des transactions internationales réalisées en Europe en zone SEPA de celles effectuées hors Europe. Les résultats pour 2011 confortent ceux déjà constatés en 2010 en évaluant les taux de fraude hors zone SEPA à un niveau près de deux fois et demie supérieur au taux relevé en Europe pour des cartes émises en France et des cartes étrangères émises hors Europe fraudées sept fois plus que celles émises en Europe. Ce constat prouve le bénéfice des efforts importants entrepris en Europe ces dernières années pour lutter contre la fraude, notamment en généralisant l'usage des cartes à puce au standard EMV (EUROPAY Mastercard Visa) aux points de vente et de retrait.

Publiée dans le JO Sénat du 07/02/2013 - page 433