Accéder au dossier législatif

Avis n° 333 (2000-2001) de M. André VALLET , fait au nom de la commission des finances, déposé le 21 mai 2001

Disponible au format Acrobat (149 Koctets)

N° 333

SÉNAT

SESSION ORDINAIRE DE 2000-2001

Rattaché pour ordre au procès-verbal de la séance du 17 mai 2001

Enregistré à la Présidence du Sénat le 21 mai 2001

AVIS

PRÉSENTÉ

au nom de la commission des Finances, du contrôle budgétaire et des comptes économiques de la Nation (1) sur le projet de loi , ADOPTÉ PAR L'ASSEMBLÉE NATIONALE, APRÈS DÉCLARATION D'URGENCE, relatif à la sécurité quotidienne ,

Par M. André VALLET,

Sénateur.

(1) Cette commission est composée de : MM. Alain Lambert, président ; Jacques Oudin, Claude Belot, Mme Marie-Claude Beaudeau, MM. Roland du Luart, Bernard Angels, André Vallet, vice-présidents ; Jacques-Richard Delong, Marc Massion, Michel Sergent, François Trucy, secrétaires ; Philippe Marini, rapporteur général ; Philippe Adnot, Denis Badré, Jacques Baudot, Mme Maryse Bergé-Lavigne, MM. Roger Besse, Maurice Blin, Joël Bourdin, Gérard Braun, Auguste Cazalet, Michel Charasse, Jacques Chaumont, Jean Clouet, Yvon Collin, Jean-Pierre Demerliat, Thierry Foucaud, Yann Gaillard, Hubert Haenel, Claude Haut, Alain Joyandet, Jean-Philippe Lachenaud, Claude Lise, Paul Loridant, Michel Mercier, Gérard Miquel, Michel Moreigne, Joseph Ostermann, Jacques Pelletier, Louis-Ferdinand de Rocca Serra, Henri Torre, René Trégouët.

Voir les numéros :

Assemblée nationale ( 11 ème législ.) : 2938 , 2992, 2996 et T.A. 663

Sénat : 296 et 329 (2000-2001)

Ordre public.

Mesdames, Messieurs,

Le gouvernement a déposé sur le bureau de l'Assemblée nationale le 14 mars dernier un projet de loi relatif à la sécurité quotidienne, vaste « fourre-tout législatif » qui vise à la fois :

- à renforcer les moyens de lutte contre la croissance du nombre d'armes à feu (chapitre 1 er ) ;

- à renforcer les prérogatives de police judiciaire de la police nationale (chapitre II) ;

- à améliorer la sécurité des cartes de paiement et à créer de nouveaux instruments juridiques afin de contrecarrer la fraude (chapitre III).

En outre, le présent projet de loi contient deux dispositions permettant, d'une part, d'euthanasier un animal présentant un danger grave et imminent pour les personnes et, d'autre part, de vérifier les titres de circulation transfrontalière des personnes empruntant les trains internationaux à destination du Royaume-Uni.

L'Assemblée nationale a ajouté de nombreuses dispositions lors de l'examen en première lecture, notamment dans le chapitre III relatif à la sécurité des cartes de paiement.

En conséquence, votre commission des finances s'est saisie pour avis des dispositions contenues dans ce dernier chapitre, à l'exclusion des mesures pénales. Elle a donc examiné les articles 7, 7 bis , 7 ter , 7 quater , 7 quinquies , 7 sexies , 8 et 16.

I. LA FRAUDE LIÉE À L'UTILISATION DES CARTES DE PAIEMENT : UN PHÉNOMÈNE RÉEL DONT IL FAUT CEPENDANT RELATIVISER L'IMPORTANCE

A. UN PHÉNOMÈNE RÉEL BIEN QUE DIFFICILE À MESURER

1. Un taux de fraude variable selon le type d'opération effectuée

Selon les chiffres fournis par le Groupement des cartes bancaires « CB » à votre rapporteur, le taux global de fraude (qui englobe les paiements et les retraits) en 2000 dans le système « CB » 1 ( * ) en France s'élève à 0,023 %. Il a cependant augmenté par rapport à 1999 puisqu'il était alors de 0,018 %.

En volume, le taux de transactions frauduleuses correspond à 49 millions d'euros, à mettre en perspective avec le volume total de transactions, soit 209,7 milliards d'euros.

Ce taux de fraude global cache cependant certaines disparités selon le type d'opération effectuée, à savoir les retraits, les paiements de proximité (pour lesquels il y a confrontation du vendeur et de l'acheteur) et les transactions à distance.

En France, le taux de fraude est le plus bas pour les opérations de retraits par cartes « CB ». En 2000, il s'est élevé à 0,017 % , ce qui correspond à 11 millions d'euros. Le volume des retraits atteignait au même moment 62,7 milliards d'euros.

Le taux de fraude sur le montant total des paiements par cartes « CB » est un peu plus élevé puisqu'il atteint 0,026 % en 2000, ce qui correspond à 28 millions d'euros. Le volume des paiements s'élevait au même moment à 147,7 milliards d'euros.

Le taux de fraude semble en revanche plus élevé pour les transactions à distance . Sur les six premiers mois de l'année 2000, il s'est élevé à 0,11% , dont la moitié résulte des rechargements à distance des cartes de téléphone mobile prépayées. L'augmentation de ce type de fraude a été largement responsable de la hausse globale du taux de fraude en 2000 par rapport à 1999.

Toutefois, selon les informations communiquées par le Groupement des cartes bancaires « CB », grâce aux mesures prises par ce dernier, mais également par les opérateurs de télécommunication, la fraude serait de nouveau maîtrisée. Ainsi, les taux de fraude pour les mois de janvier et février 2001 seraient moins élevés qu'en janvier et février 2000.

Les statistiques fournies par le Groupement des cartes bancaires « CB » ne permettent cependant pas de mesurer le montant réel de la fraude liée à l'utilisation de cartes de paiement.

D'une part, il existe d'autres types de cartes bancaires (cartes émises par Cetelem, Cofinoga, American Express etc.) qui font également l'objet de fraudes.

D'autre part, la fraude mentionnée par le Groupement des cartes bancaires « CB » correspond à la fraude déclarée par les banques, qui concerne les opérations contestées par le titulaire et postérieures à la déclaration de perte ou de vol. Cette définition ignore donc les opérations effectuées antérieurement à la mise en opposition ainsi que les fraudes résultant d'opérations à distance et laissées à la charge des commerçants.

Or, le montant de la fraude antérieure à la mise en opposition est certainement plus élevé que celui de la fraude postérieure dans la mesure où les fraudeurs ont « intérêt » à réaliser le maximum d'opérations avant la mise en opposition effective de la carte, qui limite considérablement les possibilités d'utilisation de cette dernière.

2. Les différents types de fraude

Le rapport du Conseil national de la consommation 2 ( * ) a établi une typologie des fraudes constatées selon les opérations effectuées au moyen de la carte de paiement, à savoir les transactions de proximité, les ventes à distance et le commerce électronique. Toutefois, l'analyse faite par notre collègue député Jean-Pierre Brard apparaît la plus exhaustive.

LES TYPES DE FRAUDE

1 - La fraude dans le paiement en face à face

La principale fraude est l'utilisation d'une carte authentique volée par un malfaiteur ayant réussi à se procurer le code secret.

Il est intéressant d'observer que, lors de leur audition par le groupe travaillant au sein du Conseil national de la consommation, deux émetteurs de cartes privatives (Cetelem et Cofinoga) ont insisté sur le fait que le vol avait lieu essentiellement (98 % des cas, selon Cetelem), dans les circuits postaux. Cofinoga a même précisé que les services de filiales de La Poste sont utilisés pour éviter que l'envoi passe par certains « centres de tri postaux davantage exposés ».

Une fraude, en voie de disparition, est celle de type « rejeu », c'est-à-dire un deuxième paiement effectué par le commerçant. Cette fraude était facile avec les terminaux de paiement de l'ancienne génération (« fers à repasser »), mais elle devient impossible avec les terminaux de paiement électronique. Elle perdure néanmoins à l'étranger et est d'ailleurs souvent qualifiée de « fraude à la thaïlandaise ».

2 - La fraude lors de retraits aux distributeurs automatiques de billets (DAB)

Le rapport du groupe technique restreint travaillant au sein de la mission « commerce électronique » du ministère de l'économie, des finances et de l'industrie estime que cette fraude peut être classée en quatre catégories :

- la violence à l'encontre du possesseur de la carte, qui permet de s'emparer non seulement des espèces retirées par ce dernier, mais également de sa carte et de son code secret ;

- l'abus de confiance -également qualifié par l'une des personnes auditionnées par votre Rapporteur pour avis de « délinquance du strabisme divergent »- qui consiste à observer le code composé et à subtiliser la carte (à un moment, qui peut être ultérieur, ce qui est plus simple à pratiquer avec une personne de son entourage) ;

- l'exploitation de failles dans l'organisation : diverses méthodes sont envisageables, telle que la complicité avec un employé chargé d'opérations sur le distributeur ou la modification superficielle de l'appareil. On rencontre, notamment ici, la désormais célèbre technique du « collet marseillais », qui consiste à mettre un élément étranger au fond du lecteur de carte du DAB pour bloquer la carte introduite, puis à la récupérer pendant que son porteur légitime s'est éloigné, croyant que sa carte avait été avalée par le distributeur ;

- l'utilisation d'informations collectées en paiement en face à face. Cette fraude, apparemment en fort développement (elle aurait concerné 3.000 personnes en 2000), implique de copier la piste magnétique d'une carte (technique dite du « skimming »), généralement grâce à un commerçant indélicat dont le TPE est modifié, et de la dupliquer ultérieurement, soit sur un support vierge (la « white plastic »), ne posant aucune difficulté d'utilisation sur les DAB, soit sur une carte ayant l'apparence d'une véritable carte bancaire, lorsqu'il s'agit de tromper un commerçant dans le cadre d'un paiement en face à face. Cette méthode frauduleuse nécessite également la connaissance du code secret, mais elle peut être acquise également grâce à une manipulation sur le TPE du commerçant complice. A titre d'exemple, la police d'Aubervilliers a arrêté, fin août 2000, un pompiste ayant ainsi recueilli les données essentielles des cartes bancaires d'environ 400 personnes.

3 - La fraude avec des cartes étrangères utilisées en France

Les commerçants français sont exposés à deux risques principaux :

- l'utilisation d'une carte contrefaite : la technique du « skimming » précédemment décrite s'avère difficile à contrer lorsque les pistes copiées (qui peuvent être celles de véritables cartes émises en France), sont produites sur des cartes censées avoir été émises à l'étranger, dont les commerçants français n'ont qu'une faible connaissance, compte tenu des très nombreux visuels en circulation dans le mode ;

- l'utilisation d'une véritable carte : la révocation de l'achat est une possibilité légale, largement utilisée dans d'autres pays, et notamment en Amérique du Nord. Ce risque est aggravé par la distance, qui rend impraticable une poursuite judiciaire de clients étrangers pour des montants faibles.

4 - La fraude sur les paiements à distance

La vente à distance englobe évidemment le commerce électronique, dont le développement constitue pour beaucoup l'un des enjeux économiques de ces prochaines années. Ma is la vente à distance ne se résume pas au commerce électronique. La « traditionnelle » vente par correspondance, les commandes par téléphone et -il ne faut pas l'oublier- par Minitel, représentent encore l'essentiel du chiffre d'affaires de ce secteur (selon la Fédération des entreprises de vente à distance, le Minitel génère 6 milliards de francs du chiffre d'affaires de la vente à distance, contre 2 milliards de francs pour Internet).

Si le commerce électronique n'est pas toute la vente à distance, il serait tout de même illusoire de penser que la carte bancaire est le seul moyen de paiement envisageable, voire souhaitable, pour les achats sur Internet.

En matière de paiements à distance, les risques d'un achat non sécurisé sont divers :

- le numéro de la carte peut être piraté pour être utilisé à des fins frauduleuses : ce piratage peut revêtir des formes plus ou moins complexes. Les plus simples consistent à relever ces données sur la carte d'un proche ou sur les facturettes les mentionnant encore. Mais il existe des variantes plus technologiques ;

- le montant de l'achat peut être modifié par un commerçant malhonnête ;

- le site sur lequel la commande est réalisée peut ne pas être le site officiel du commerçant avec lequel le consommateur croit traiter ;

- le porteur de la carte peut contester à tort l'achat qu'il a effectué.

Dans le domaine de la vente à distance, il importe de distinguer le secteur traditionnel de celui de la téléphonie mobile. Ce dernier secteur a enregistré une hausse importante de la fraude dans les premiers mois de 2000 sur les paiements des rechargements des cartes prépayées. En revanche, le secteur traditionnel est beaucoup moins exposé (notamment du fait des mesures de précaution prises par les entreprises de vente par correspondance), à l'exception, semble-t-il, d'activités moins sécurisées (joaillerie, voyages, informatique).

Source : Jean-Pierre Brard : avis « Sécurité quotidienne », n ° 2992, XIe législature, pages 38 à 41

B. UN PHÉNOMÈNE DONT IL FAUT RELATIVISER L'IMPORTANCE

1. Un taux de fraude moindre en France qu'à l'étranger...

Tous les pays semblent touchés par le développement de la fraude aux cartes de paiement. A titre d'exemple, en Allemagne, ce phénomène a connu un développement considérable : le nombre des fraudes a augmenté de 40 % entre 1998 et 1999 alors que les fraudes par utilisation de fausse monnaie et de chèques falsifiés ont décru pendant la même période.

D'après les informations obtenues par votre rapporteur auprès du Groupement des cartes bancaires « CB », le taux de fraude concernant l'utilisation en paiement de cartes « CB » à l'étranger s'est élevé à 0,571 % en 2000 . Ce taux est à rapprocher du taux de fraude constaté la même année concernant les paiements par carte « CB » en France, qui a atteint 0,026 %.

Quant au taux de fraude concernant l'utilisation en paiement de cartes étrangères dans le système « CB », il s'est monté à 0,532 % en 2000.

Ces chiffres, même s'ils doivent être appréhendés avec précaution, montrent que les cartes bancaires « CB », lorsqu'elles sont utilisées dans le système « CB », connaissent un taux de fraude moins important que les cartes bancaires étrangères.

L'une des raisons fréquemment avancées pour expliquer ce phénomène est le faible niveau de sécurité des cartes étrangères, qui résulte essentiellement de l'absence de puce de sécurité intégrée aux cartes de paiement.

2. Qui s'explique par le haut degré de sécurité des cartes bancaires « CB »

Le « groupe technique » constitué dans le cadre des travaux du Conseil national de la consommation 3 ( * ) a précisé les caractéristiques techniques des cartes de paiement utilisées en France et a conclu au caractère infalsifiable de la puce.

Toute carte de paiement est constituée d'une carte en plastique conforme à une norme ISO (International Organisation for Standardization) et destinée au contrôle visuel pour tous les usages en face-à-face ainsi qu'une piste magnétique.

En France, les cartes du système Cartes Bancaires « CB » ont en outre une puce à microprocesseur, sorte de « mini-ordinateur » qui est mis en tension chaque fois que l'on enfiche la carte dans un lecteur approprié. Or, la présence de cette puce a considérablement renforcé la sécurité du paiement par carte de paiement.

Trois informations sont communes à la carte plastique, à la piste et à la puce : le numéro de carte à 16 chiffres, la date de validité de la carte et le nom du porteur. En revanche, ces trois supports diffèrent par les autres informations distinctives qu'ils renferment et par leur degré variable de réplication.

Le rectangle de plastique comporte une signalétique qui identifie l'émetteur et le réseau auquel appartient la carte. Au verso est apposé un exemplaire de la signature du titulaire. Une carte en plastique est au moins aussi difficile à reproduire qu'un billet de banque. Toutefois, la circulation d'un très grand nombre de cartes différentes peut rendre la reconnaissance desdites cartes problématique pour les fournisseurs. En outre, les données imprimées sur la carte ne sont nullement sécurisées.

La piste magnétique contient quelques informations complémentaires d'authentification. Avec la diffusion de la micro-informatique, elle est cependant devenue facile à reproduire.

La puce est capable de stocker des informations devant rester secrètes. Elle met en oeuvre des techniques de cryptologie pour comparer les indications transmises de l'extérieur et les données secrètes. C'est ainsi qu'elle permet de vérifier l'exactitude du code, de certifier l'authenticité de la carte, mais aussi de stocker des preuves de chaque transaction. D'après les informations obtenues par votre rapporteur, à l'heure actuelle, la sécurité de la puce est inviolable . En outre, personne n'est encore parvenu à programmer une puce ou un objet capable d'imiter une puce pendant toutes les étapes d'une transaction commerciale classique.

En conséquence, chaque fois que la puce est utilisée dans la transaction, les risques de fraude sont considérablement réduits. Or, c'est le cas en France pour tous les paiements de proximité.

Au contraire, lorsqu'on utilise une carte bancaire à l'étranger, les terminaux de paiement ne lisent pas la puce, mais la piste magnétique. Ce n'est donc pas le code confidentiel qui authentifie le porteur, mais sa signature, beaucoup plus facile à se procurer puisqu'elle figure au verso de la carte.

3. Un effort continu pour améliorer la sécurité des paiements

Même si le système cartes bancaires « CB » offre un niveau de sécurité élevé, un effort permanent doit être fourni par tous les professionnels pour améliorer la sécurité des paiements, notamment en raison de l'évolution de la fraude et des technologies qui sont mises à son service.

Trois priorités apparaissent : l'allongement des clés qui permet de vérifier que la carte utilisée dans la transaction est bien une carte bancaire, le renforcement de la sécurisation des terminaux de paiement et des distributeurs automatiques de billets et le développement de techniques de paiement sécurisées dans le cadre de la vente à distance.

a) L'allongement des clés

Si la puce est restée jusqu'à ce jour inviolable, le protocole d'identification de la carte auprès de certains terminaux pour des transactions « hors ligne » (c'est-à-dire sans connexion au réseau interbancaire) a pu être « piraté ». Lors de cette procédure d'identification, le terminal de paiement vérifie que la carte est bien une carte bancaire, sans s'assurer qu'elle est rattachée à un compte valide. La carte fournit au terminal son identifiant et une valeur d'identification (toujours la même pour une carte donnée), qui correspond à cet identifiant chiffré au moment de la création de la carte à l'aide d'un algorithme et d'une clé privée connue du seul Groupement des cartes bancaires « CB ». Le terminal déchiffre alors cette valeur d'authentification à l'aide de la clé publique qu'il contient et vérifie que le résultat obtenu est bien égal à l'identifiant de la carte. La carte n'effectue donc aucun calcul. Elle ne fait que présenter ces deux données au terminal.

En 1999, un informaticien, M. Serge Humpich, a réussi à trouver ladite clé privée et a fabriqué une fausse carte à partir de cet identifiant valide et de cet identifiant chiffré avec cette clé secrète, en programmant la carte de manière à ce qu'elle réponde « ok » à tout code tapé.

Il convient cependant de remarquer que l'augmentation de la longueur de la clé rend son piratage plus difficile. Le passage des cartes au standard EMV (Europay, Mastercard, Visa), qui devrait être achevé au 1 er janvier 2003, devrait réduire considérablement ce type de fraude. Il est donc nécessaire que les émetteurs de cartes bancaires, à savoir les établissements de crédit, investissent les moyens financiers nécessaires pour assurer cette mutation.

b) La sécurisation des terminaux de paiement et des distributeurs automatiques de billets

Les terminaux de paiement électroniques (TPE) et les distributeurs automatiques de billets (DAB) constituent une pièce maîtresse du dispositif.

Les TPE permettent de faire le lien entre la carte et son porteur, entre le fournisseur et le réseau. En outre, ils enregistrent la transaction. Les TPE sont soit loués à la banque du commerçant dans le cadre d'un contrat qui peut prévoir la maintenance et la mise à niveau logicielle, soit achetés par le commerçant, qui doit alors gérer la maintenance.

Selon les chiffres fournis par le Groupement des cartes bancaires « CB », sur 648.000 terminaux de paiement, seuls 250.000 sont conformes à la norme CB5 (ils sont alors capables de lire des clés plus longues). En outre, tous les terminaux devront ensuite passer à la norme EMV. Il s'agit donc d'un investissement considérable bien qu'indispensable, qui doit tenir compte des capacités financières des commerçants qui ont déjà eu à supporter le coût du passage à l'an 2000 et doivent faire modifier les logiciels de leurs TPE pour le passage à l'euro.

Les DAB permettent le retrait de billets de banque après identification du porteur. Ils sont systématiquement connectés au centre informatique des banques émettrices de carte lors de chaque transaction. Les établissements de crédit sont responsables de leur fonctionnement.

Selon les chiffres fournis par le Groupement des cartes bancaires « CB », au 1 er janvier 2001, 33 % des distributeurs de billets (soit 35.000 en valeur absolu) sont encore dans l'incapacité de lire la puce , fragilisant ainsi la sécurité du système. Les banques se sont engagées à accélérer l'équipement des DAB afin que les retraits de billets se fassent uniquement par la puce. Le coût de cette opération est assez lourd puisqu'il s'élève à environ 300 millions de francs (soit environ 10.000 francs par distributeur) 4 ( * ) .

c) La sécurisation des paiements dans le cadre de la vente à distance

La sécurisation des paiements par carte bancaire dans le cadre de la vente à distance constitue un véritable enjeu économique dans la mesure où ce sont les paiements qui ont vocation à se développer le plus dans les prochaines années, alors qu'ils sont à l'heure actuelle peu fiables puisque les ordres de paiement sont dans la plupart des cas réalisés par la communication du numéro de la carte, de sa date d'expiration et du nom du porteur. Certes, en cas de fraude, le coût financier n'est pas supporté par le consommateur puisqu'il peut contester toute transaction à distance dont il n'est pas l'auteur. Mais le coût de la fraude est reporté sur le commerçant.

Ce type de paiement est intrinsèquement le plus difficile à sécuriser. Toutefois, dans le cadre des paiements par Internet, il existe des solutions techniques permettant de développer la sécurité des ordres de paiement donnés en utilisant un lecteur de carte connectable à l'ordinateur afin de faire contrôler le code secret par la puce.

D'après les informations obtenues par votre rapporteur, les obstacles au déploiement de ce dispositif résideraient surtout dans le coût unitaire du lecteur, de l'ordre de 200 francs. Votre rapporteur estime que ce coût est relativement modéré et qu'une solution pourrait être facilement trouvée pour en promouvoir l'acquisition, notamment lors de l'achat d'un ordinateur.

II. LA VOLONTÉ DU GOUVERNEMENT DE LÉGIFÉRER A MINIMA CONTREDITE PAR SA MAJORITÉ À L'ASSEMBLÉE NATIONALE

A. LES DISPOSITIONS «MINIMALISTES » PROPOSÉES PAR LE GOUVERNEMENT

1. Le contexte : les travaux du groupe de travail rattaché au Conseil national de la consommation

a) Les travaux du groupe de travail

Le 4 avril 2000, Madame Marylise Lebranchu, alors secrétaire d'Etat aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation annonçait la création d'un groupe de travail rattaché au Conseil national de la consommation chargé de dresser un état des lieux de la sécurité des cartes bancaires.

Ce groupe de travail comprenait non seulement des représentants des associations de consommateurs, mais aussi tous les émetteurs de cartes ainsi que les opérateurs de téléphonie mobile et de vente à distance, les constructeurs de terminaux d'acceptation des cartes, des représentants de la direction centrale de la sécurité des systèmes d'information, des représentants du ministère de l'économie, des finances et de l'industrie, des représentants du ministre de l'intérieur et du ministère de la justice, les présidents du comité consultatif du conseil national du crédit et du titre, de la Banque de France et de la commission nationale de l'informatique et des libertés.

Le groupe de travail avait pour mission :

- de faire le point précis sur les différents types de fraude, par négligence des personnes ou violence sur les personnes, impliquant directement l'utilisation frauduleuse des cartes de paiement ou des facturettes qui mentionnent le numéro de la carte bancaire ou non ; il devait évaluer les conséquences et leur ampleur sur les consommateurs et l'ensemble des utilisateurs ;

- de formuler des recommandations simples et opérationnelles visant à limiter le risque de fraude ;

- d'exercer le suivi des mesures annoncées par le Groupement des cartes bancaires « CB », notamment en matière de facturettes, de remboursement des consommateurs, et de problèmes liés aux distributeurs automatiques de billets.

En février 2001, le groupe de travail a remis son rapport dans lequel il formulait des propositions concrètes autour des thèmes suivants :

- améliorer l'information des utilisateurs sur leurs droits et sur les mesures de sécurité ;

- prévenir la perte et le vol des cartes et préserver la sécurité des porteurs lors de l'utilisation du code confidentiel ;

- sécuriser davantage les différents types de transaction ;

- simplifier les règles de fonctionnement des cartes ;

- revoir le partage de la fraude entre émetteurs et consommateurs ;

- renforcer le cadre pénal et l'implication des pouvoirs publics dans la surveillance des moyens de paiement.

SYNTHÈSE DES RECOMMANDATIONS DU GROUPE DE TRAVAIL
DU CONSEIL NATIONAL DE LA CONSOMMATION

Les recommandations évoquées durant les travaux du groupe par les représentants des consommateurs et ceux des professionnels sont regroupées dans cette synthèse en fonction des acteurs auxquels elles s'adressent, et suivies d'une indication du délai de mise en oeuvre.

Elles ne sont donc pas toutes validées par le groupe, notamment pour ce qui concerne le montant de la franchise du contrat porteur et les clauses des contrats porteurs.


I - ETABLISSEMENTS DE CREDIT ET EMETTEURS DE CARTES

A - MIEUX INFORMER LES UTILISATEURS DES CARTES

A l'égard des porteurs :

- Lors de la signature d'un contrat porteur, remettre au porteur un document ad hoc résumant les principales consignes de sécurité liées à l'utilisation des cartes bancaires. Renouveler cette information une fois par an par tout moyen (mise en oeuvre rapide).

- Informer les porteurs de cartes sur le montant de leur plafond d'achats et de retraits lors de la souscription ou du renouvellement de la carte, ainsi que sur les différents plafonds existants (mise en oeuvre rapide) .

- Communiquer plus efficacement sur le numéro unique de mise en opposition en l'affichant de manière systématique sur les DAB et en rappelant l'existence des différents moyens de mise en opposition sur les relevés d'opérations tous les six mois (mise en oeuvre rapide) .

- Formaliser la contestation d'un débit à caractère frauduleux incluant le dépôt de plainte (mise en oeuvre rapide) .

- Informer les porteurs sur l'existence, le cas échéant, d'un service de détection des utilisations anormales des cartes (mise en oeuvre rapide) .

A l'égard des commerçants :

- Lors de la conclusion d'un contrat d'acceptation « vente à distance » et pour tous les commerçants ayant déjà conclu un tel contrat, informer de manière explicite les commerçants sur l'existence d'une clause de recréditation du porteur en cas de contestation de bonne foi de ce dernier (mise en oeuvre rapide) .

B - SÉCURISER LES RETRAITS DAB

- Achever la modernisation de tous les DAB afin de garantir pour tout retrait la lecture des puces des cartes (mise en oeuvre rapide) .

A moyen terme :

- Etablir un espace de confidentialité (par exemple une « ligne de courtoisie » devant les DAB).

- Créer, sur les nouvelles générations de DAB et sous réserve de faisabilité technique, un dispositif de mise en opposition directe des cartes.

- Engager une réflexion, entre les banques et les constructeurs, sur l'ergonomie et les lieux d'installation des nouvelles générations de DAB.

- Supprimer les fonctions paiement et retrait de la piste, sur les cartes bancaires nationales.

C - SÉCURISER LES ACHATS À DISTANCE

- Généraliser le numéro et la gestion des cryptogrammes visuels au verso des cartes bancaires et leur utilisation pour les demandes d'autorisation.

- Mettre en place au bénéfice des commerçants un système de données permettant d'authentifier le lien entre porteur et payeur.

- Favoriser la mise en place de fichiers d'incidents au niveau professionnel avec l'autorisation de la CNIL.

- Favoriser la gestion de listes de cartes émises au niveau français, européen, international.

- Accélérer le traitement des incidents par les banques (harmonisation rejets, butoirs...).

D - AMELIORER LES REGLES DE FONCTIONNEMENT

- Accepter la mise en opposition d'une carte perdue ou volée sans communication du numéro de carte (mise en oeuvre rapide) .

- Informer de manière systématique les porteurs sur la conduite à tenir en cas de capture de la carte par un DAB notamment en dehors des heures d'ouverture (mise en oeuvre rapide) .

- Transmettre aux titulaires de cartes un contrat actualisé et conforme à la dernière version adoptée par le Groupement des Cartes Bancaires (mise en oeuvre rapide) .

A moyen terme :

- Permettre au titulaire d'une carte de lire la puce de sa carte et disposer ainsi de la liste des opérations effectuées.

- Mettre en oeuvre un processus d'activation de la carte après réception par le titulaire et à l'initiative de ce dernier.

E - REVOIR LE PARTAGE DE LA RESPONSABILITE FINANCIERE ENTRE LES EMETTEURS DE CARTES ET LES UTILISATEURS

- Rembourser les frais subis par un porteur (montant des transactions, agios le cas échéant, frais de mise en opposition et de renouvellement de la carte) en cas de débits frauduleux liés à un dysfonctionnement du système (fraude liée à l'utilisation d'un numéro de carte ou d'une carte contrefaite).

- Rembourser dans un délai maximum d'un mois les débits frauduleux liés à une contrefaçon de carte ou à une utilisation frauduleuse d'un numéro de carte.

- Limiter, conformément à une recommandation de 1997 de la Commission Européenne, le montant de la franchise laissée à la charge des porteurs pour ce qui concerne la fraude antérieure à la déclaration de perte ou de vol.

- Mettre en conformité le contrat porteur avec les recommandations de la Commission des Clauses Abusives 5 ( * ) .

- Inscrire dans le contrat porteur le droit du titulaire de carte de se faire rembourser les débits contestés de bonne foi liés à des achats à distance n'impliquant ni signature, ni tabulation du code confidentiel, en rappelant les sanctions pénales liées aux fausses déclarations.

II - SECTEUR DU COMMERCE DE PROXIMITE ET DE LA GRANDE DISTRIBUTION

Pour les achats de proximité

- Garantir aux porteurs dans les commerces, la confidentialité de la tabulation de leur code confidentiel par un cache ou tout autre moyen sur le clavier des terminaux de paiement électronique, y compris pour les automates d'achat, et par un contact visuel permanent avec leur carte (mise en oeuvre urgente) .

- Supprimer les numéros de carte complets et l'identité du porteur sur les facturettes et les documents commerciaux à la fin de l'année 2001 au plus tard (favoriser une mesure normalisée), avec clause de rendez-vous au 1 er juillet 2001 ( mise en oeuvre urgente) .

III - SECTEUR DE LA VENTE A DISTANCE

- Informer les consommateurs sur les techniques de sécurisation de paiement mises en oeuvre par les sites marchands, notamment sur les conditions de circulation et de stockage des numéros de cartes de paiement (mise en oeuvre rapide) .

- Ne pas stocker dans des bases de données des informations relatives aux numéros de cartes et de cryptogrammes visuels (mise en oeuvre rapide) .

A moyen terme :

- Déployer des solutions techniques de paiement sécurisé en ligne visant à supprimer la circulation des numéros de cartes en ligne et leur stockage sur les sites marchands.

IV - OPERATEURS DE TELEPHONIE MOBILE

- Mise en oeuvre par tous les opérateurs de téléphonie mobile de mesures d'encadrement du rechargement à distance par cartes bancaires des cartes prépayées (un seul numéro de carte par carte prépayée, limitation du nombre et du montant des rechargements) (mise en oeuvre urgente) .

- Généraliser le numéro et la gestion des cryptogrammes visuels au verso des cartes bancaires et celle de la date de fin de validité et leur utilisation pour les demandes d'autorisation (mise en oeuvre rapide) .

V - POUVOIRS PUBLICS

- Aggraver les peines liées à l'intrusion dans les systèmes monétiques et à la diffusion d'informations, par tout média, d'informations sur la contrefaçon des cartes de paiement.

- Amender la législation pénale afin de mieux réprimer les agissements facilitant la fraude sur Internet.

- Examiner les conditions d'implication de la Banque de France dans la sécurité des moyens de paiement.

- Conférer à la Mission « Economie numérique » du MINEFI, en association avec le ministère de l'Intérieur et le ministère de la Justice, une mission de veille sur la sécurité des paiements en ligne et sur la cyber-criminalité.

- Réunir au second semestre le groupe CNC afin de faire le point sur l'état d'avancement des présentes recommandations.

Source : rapport au ministre de l'économie, des finances et de l'industrie et au secrétariat d'Etat aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation sur la sécurité des cartes de paiement ; février 2001 ; pages 21 à 24.

b) Les engagements des banquiers et des commerçants

A la suite de la remise du rapport par le groupe de travail, deux chartes ont été signées relatives à la sécurité des cartes de paiement, l'une par les établissements de crédit, émetteurs de cartes de paiement et l'autre par les commerçants, représentés par le Conseil de commerce de France.

Le 22 février dernier, l'Association française des établissements de crédit et des entreprises d'investissement, la Fédération française de banque et le Groupement des cartes bancaires « CB » ont signé une charte dans laquelle ils s'engagent à prendre certaines mesures à court terme et à moyen terme destinées à améliorer la sécurité des cartes de paiement.

Les mesures à court terme (avant la fin du premier semestre 2001) visent à :

- mieux informer les porteurs de la carte sur les consignes de sécurité, le plafond maximum des achats et des retraits et communiquer plus efficacement sur le numéro unique de mise en opposition en l'affichant systématiquement sur les distributeurs automatiques de billets ;

- mieux informer les commerçants sur l'existence, dans les contrats d'acceptation « vente à distance », de la clause de recréditation du porteur en cas de contestation de bonne foi de ce dernier ;

- renforcer la sécurité technique des distributeurs automatiques de billets ;

- améliorer les règles de fonctionnement de la mise en opposition en acceptant la mise en opposition d'une carte perdue ou volée dès le premier appel, sans obligation de communiquer le numéro de la carte d'une part et en informant les porteurs de la nécessité de mettre en opposition une carte capturée dans un distributeur en dehors des heures d'ouverture des agences, d'autre part ;

- revoir le partage de la responsabilité financière entre les banques et les utilisateurs par quatre mesures : permettre aux porteurs de se faire rembourser les frais bancaires subis en cas de fraude liée à l'utilisation d'un numéro de carte ou d'une carte contrefaite ; permettre au porteur de se faire rembourser les débits contestés de bonne foi liés à des achats à distance n'impliquant ni la signature manuscrite, si la frappe du code confidentiel ; rembourser en moins d'un mois les débits frauduleux liés à une contrefaçon de carte ou à une utilisation frauduleuse d'un numéro de carte ; limiter le montant de la franchise laissée à la charge des porteurs pour ce qui concerne la fraude antérieure à la déclaration de perte ou de vol à 400 euros, si le porteur a fait opposition immédiatement (24 heures) ou s'il n'a pas commis une négligence.

A moyen terme, les établissements de crédit émetteurs de cartes s'engagent à :

- renforcer la sécurité technique des distributeurs en aménageant un espace de confidentialité, en engageant une réflexion sur l'ergonomie et les lieux d'installation des DAB, en définissant un calendrier de suppression des fonctions paiement de la piste magnétique et de retrait de cette dernière sur les cartes bancaires nationales ;

- renforcer la sécurité des paiements pour les achats à distance ou en ligne en proposant aux commerçants un système de vérification de l'identité du porteur, en généralisant la mention des cryptogrammes visuels au verso des cartes bancaires et leur utilisation pour les transactions à distance et en déployant des solutions techniques de paiement sécurisé en ligne visant à supprimer la circulation des numéros de cartes en ligne ;

- renforcer les règles de fonctionnement du paiement par cartes bancaires en poursuivant les travaux visant à permettre l'inscription dans la puce de toutes les opérations effectuées et leur lecture par le titulaire de la carte, en mettant en oeuvre un processus d'activation de la carte après réception par le titulaire et à l'initiative de ce dernier, enfin en élargissant le choix des tranches de plafonds d'achats et de retraits.

Le même jour, le Conseil de Commerce de France s'engageait également à recommander à ses adhérents la mise en oeuvre des mesures suivantes pour la fin de l'année 2001 :

- garantir aux porteurs de cartes la confidentialité de la tabulation de leur code confidentiel par les moyens de protection appropriés, notamment par un cache sur le clavier des terminaux de paiement électronique et par le maintien d'un contact visuel permanent de leur carte ;

- modifier la facturette du porteur afin de tronquer le numéro de la carte et de supprimer l'identité du porteur, le numéro d'autorisation ainsi que la date de fin de validité ;

- informer les consommateurs, sur les sites marchands, sur les techniques de sécurisation de paiement mises en oeuvre en ce qui concerne notamment les conditions de circulation et de stockage des numéros de cartes de paiement.

2. Trois priorités seulement retenues par le gouvernement

a) La volonté de ne pas s'immiscer dans les relations contractuelles entre les émetteurs de cartes et leurs titulaires

Le gouvernement a suivi attentivement les réflexions menées par le groupe de travail rattaché au Conseil national de la consommation et a assisté, par l'intermédiaire du ministre de l'économie, des finances et de l'industrie, M. Laurent Fabius, à la signature des deux chartes relatives à la sécurité des cartes de paiement respectivement par les représentants du monde bancaire et par les représentants du commerce.

Constatant que les travaux du groupe de travail avaient développé une véritable dynamique au sein des différentes parties prenantes pour lutter contre la fraude et que la plupart des recommandations dudit groupe de travail avaient été reprises par les deux chartes mentionnées précédemment, le gouvernement n'a pas souhaité intervenir dans les relations contractuelles entre les établissements émetteurs de cartes, d'une part, et les titulaires de la carte, d'autre part.

En revanche, il s'est attaché à exécuter les recommandations faites en sa direction par le groupe de travail rattaché au Conseil national de la consommation.

Cinq dispositions  concernaient les pouvoirs publics:

- aggraver les peines liées à l'intrusion dans les systèmes monétiques et à la diffusion d'informations, par tout média, d'informations sur la contrefaçon des cartes de paiement ;

- amender la législation pénale afin de mieux réprimer les agissements facilitant la fraude sur Internet ;

- examiner les conditions d'implication de la Banque de France dans la sécurité des moyens de paiement ;

- conférer à la Mission « Economie numérique » du MINEFI, en association avec le ministère de l'intérieur et le ministère de la justice, une mission de veille sur la sécurité des paiements en ligne et sur la cyber-criminalité ;

- réunir au second semestre le groupe de travail rattaché au Conseil national de la consommation afin de faire le point sur l'état d'avancement des présentes recommandations.

Parmi ces propositions, seules les trois premières nécessitaient un texte législatif pour pouvoir être appliquées. Elles ont donc été insérées dans le projet de loi relatif à la sécurité quotidienne.

b) Etendre aux cas de fraude les possibilités de faire opposition

Actuellement, il ne peut être fait opposition qu'en cas de perte ou de vol. Or, l'étude des cas de fraude révèle que ces dernières ne sont pas toujours rattachées aux notions de perte ou de vol. L'article 7 du présent projet de loi propose donc de prévoir explicitement que l'utilisation frauduleuse de la carte est un motif légitime d'opposition.

c) Consolider le rôle de la Banque de France

L'article L. 141-4 du code monétaire et financier prévoit que la Banque de France veille au bon fonctionnement et à la sécurité des systèmes de paiement. Toutefois, sa compétence en matière de moyens de paiement repose sur une interprétation de la Banque centrale européenne de ses missions. Elle n'est pas fondée sur un texte précis. Certes, la Banque de France participe au comité de direction du Groupement des cartes bancaires, mais son influence reste « morale » et elle ne dispose d'aucun moyen contraignant si elle estime qu'un moyen de paiement ne présente pas toutes les garanties suffisantes en matière de sécurité.

L'article 8 du présent projet de loi propose donc de renforcer les pouvoirs de la Banque de France en complétant l'article L. 141-4 précité et en lui permettant de s'opposer à la mise à disposition du public de tout moyen de paiement dont les fonctions de sécurité seraient insuffisantes.

d) Le renforcement de la législation pénale

Lors de sa conférence de presse le 22 février dernier, le gouvernement a constaté que les consommateurs se sont inquiétés légitimement, ces derniers mois, que leurs numéros de cartes bancaires, la date de validité de celle-ci ou et le nom du porteur puissent être diffusés sur Internet. Par ailleurs, il est apparu que des sites donnaient des informations permettant de réaliser des fraudes à la carte bancaire, certains sites proposant même des logiciels calculant des numéros de cartes factices mais cohérents.

Or, le droit pénal français ne réprime pas la mise à disposition d'informations et de matériels permettant la commission d'une infraction sur une carte de paiement. L'article 9 du présent projet de loi crée donc une nouvelle incrimination pénale complétant les dispositions actuelles, afin d'adapter les moyens légaux de la répression au développement des nouvelles formes de délinquance.

B. UN TEXTE LARGEMENT MODIFIÉ DANS SON ESPRIT PAR L'ASSEMBLÉE NATIONALE

Comme il a été indiqué précédemment, le gouvernement n'avait pas souhaité intervenir dans les relations contractuelles entre les émetteurs de carte et leurs titulaires. Estimant que les mesures pour renforcer la sécurité des moyens de paiement seraient d'autant mieux appliquées qu'elles auraient fait l'objet d'un consensus de la part de toutes les parties prenantes, il avait accepté implicitement que certaines dispositions proposées par le groupe de travail rattaché au Conseil national de la consommation, mais n'ayant pas fait l'unanimité, ne soient pas prises en compte.

Au contraire, l'Assemblée nationale, sous l'égide du rapporteur pour avis, notre collègue député Jean-Pierre Brard, s'est placée dans une logique de protection des titulaires de carte.

1. Les travaux du député Brard sur les cartes bancaires

Suite au rejet par l'Assemblée nationale de la proposition de résolution des membres du groupe communiste et apparentés tendant à la création d'une commission d'enquête sur la sécurité des cartes bancaires, notre collègue député Jean-Pierre Brard a été chargé en octobre 2000 par la commission des finances de l'Assemblée nationale d'une mission d'information sur le même sujet.

La présentation par le gouvernement, en février 2001, de dispositions législatives relatives à la sécurité sur les cartes bancaires est intervenue alors avant que le député Jean-Pierre Brard ait rendu ses conclusions. Afin que ses réflexions soient prises en compte, il a demandé à être rapporteur pour avis desdites dispositions et a rédigé rapidement un rapport d'étape qui a servi de rapport pour avis. Or, tout en reconnaissant l'utilité des mesures proposées par le gouvernement, il a estimé que le dispositif devait être complété, d'une part en renforçant davantage les compétences de la Banque de France et, d'autre part, en accroissant la protection des titulaires de carte de paiement.

2. La légalisation des droits et obligations des émetteurs et des porteurs de carte

L'Assemblée nationale a repris certaines mesures emblématiques avancées par le groupe de travail qu'elle a complétées, comme le remboursement au titulaire de la totalité des frais qu'il a supportés en cas d'utilisation frauduleuse de sa carte ou la fixation d'un plafond à la franchise laissée à la charge des porteurs en ce qui concerne la fraude antérieure à la déclaration de perte ou de vol 6 ( * ) .

En outre, elle a proposé de nouvelles dispositions inspirées directement d'une recommandation faite par la Commission européenne en 1997. Ainsi, elle a repris le plafond de 150 euros (valable à partir du 1 er janvier 2003). De même, elle a posé le principe d'irresponsabilité du porteur d'un carte en cas d'utilisation de son code confidentiel ou de tout autre élément d'identification électronique.

Au total, cinq nouveaux articles additionnels ont été adoptés et les dispositions qu'ils contiennent ont été symboliquement inscrites dans le code de la consommation, et non dans le code monétaire et financier.

Par ailleurs, l'Assemblée nationale a souhaité créer par la voie législative l'Observatoire de la sécurité des cartes bancaires que le ministre de l'économie, des finances et de l'industrie avait annoncé.

C. LES PROPOSITIONS DE VOTRE COMMISSION

Votre commission est favorable aux dispositions votées par l'Assemblée nationale visant à renforcer les pouvoirs de la Banque de France en matière de sécurité des moyens de paiement. En revanche, elle est plus réservée sur certaines mesures tendant à renforcer la protection des titulaires de cartes.

Elle reconnaît que les relations contractuelles qui lient les émetteurs et les porteurs de carte ont pu être déséquilibrées au détriment du titulaire. Toutefois, elle estime que la charte signée par les représentants du monde bancaire permettra un rééquilibrage des droits et obligations entre les deux parties au contrat.

En outre, elle constate que l'Assemblée nationale ne s'est pas contentée de donner un fondement légal à ces dispositions, mais a également adopté certaines mesures qui tendent à déresponsabiliser excessivement le porteur de carte, au risque de remettre en cause le principe d'irrévocabilité de l'ordre de paiement.

1. Eviter la remise en cause de l'irrévocabilité de l'ordre de paiement

Le système français de paiement par carte bancaire repose sur l'irrévocabilité de l'ordre ou l'engagement de payer lorsque le titulaire de la carte s'est identifié au cours de la transaction, soit en apposant sa signature manuscrite, soit en tapant son code confidentiel.

Toutefois, il est apparu des cas de fraude dans lesquels les délinquants s'étaient appropriés le code confidentiel sans qu'il y ait eu négligence de la part du porteur de la carte. Or, il n'existe à l'heure actuelle aucune disposition qui permette, dans ce cas précis, de dégager la responsabilité du porteur de carte.

L'Assemblée nationale a souhaité remédier à cette situation en déclarant que la seule utilisation du code confidentiel n'est pas suffisante pour engager la responsabilité du titulaire et en posant le principe de la recréditation des sommes contestées

Or, la rédaction retenue, qui ne fait pas référence à l'utilisation frauduleuse du code confidentiel, tend à remettre en cause le principe d'irrévocabilité de l'ordre de paiement.

Votre commission vous proposera donc de définir précisément le champ d'application de cette disposition afin qu'elle soit protectrice des titulaires de carte victimes d'une utilisation frauduleuse de leur carte et de son code confidentiel, tout en respectant le principe d'irrévocabilité de l'ordre de paiement.

2. Clarifier certaines dispositions adoptées par l'Assemblée nationale

L'Assemblée nationale a voté un ensemble de dispositions visant à renforcer la protection des consommateurs. Toutefois, certaines rédactions retenues créent des ambiguïtés qu'il convient de lever.

A l'article 7, l'Assemblée nationale a précisé que le porteur de carte pouvait faire opposition au paiement en cas d'utilisation frauduleuse de la carte ou de ses numéros. Votre commission estime que le terme « numéros » porte à confusion et a préféré le remplacer par le terme « les données liées à son usage ».

A l'article 7 quinquies ,  l'Assemblée nationale a fixé le principe du remboursement de la totalité des frais supportés par le titulaire de la carte en cas d'utilisation frauduleuse de cette dernière. Votre commission vous proposera de préciser la nature de ces frais, afin d'éviter qu'un porteur indélicat ne demande le remboursement de frais sans rapport direct avec les pertes subies liées à l'utilisation frauduleuse de sa carte de paiement.

A l'article 7 sexies , l'Assemblée nationale a souhaité uniformiser les délais accordés aux titulaires de carte pour contester une opération. Toutefois, la rédaction retenue prête à confusion. Votre commission vous proposera donc de fixer un délai légal de 70 jours, qui pourra être prolongé contractuellement sans pouvoir dépasser 120 jours.

Par ailleurs, l'Assemblée nationale a, malgré l'avis défavorable du gouvernement, souhaité intégrer ces dispositions dans le code de la consommation. Or, il serait paradoxal qu'après avoir codifié des dispositions jusqu'à présent éparses dans le code monétaire et financier, les dispositions relatives à la sécurité des paiements par carte bancaire ne figurent pas dans le chapitre dudit code monétaire consacré à la carte de paiement, mais dans le code de la consommation. Votre commission vous proposera donc d'insérer les dispositions des articles 7 ter à 7 sexies dans le code monétaire et financier.

EXAMEN DES ARTICLES

ARTICLE 7

Modifications des clauses autorisant l'opposition au paiement par carte - Utilisation frauduleuse de la carte de paiement

Commentaire : le présent article autorise les titulaires d'une carte de paiement à faire opposition au paiement par ladite carte en cas d'utilisation frauduleuse de celle-ci.

I. LA SITUATION ACTUELLE

Le premier alinéa de l'article L. 132.2 du code monétaire et financier dispose que « l'ordre ou l'engagement de payer donné au moyen d'une carte de paiement est irrévocable ».

Toutefois, le deuxième alinéa prévoit trois exceptions à ce principe :

- si la carte de paiement a été perdue par son titulaire ;

- si elle a été volée ;

- si le bénéficiaire du paiement est en situation de redressement ou de liquidation judiciaire.

Pourtant, le développement de la fraude aux cartes bancaires sans qu'il y ait dépossession de la carte bancaire rend ce dispositif insuffisant.

Deux techniques de fraude sont principalement utilisées :

- la première consiste à relever les données d'identification de la carte bancaire (nom et prénom, numéro de la carte et date de validité) et de les utiliser dans le cadre de la vente à distance ;

- la deuxième technique, plus « sophistiquée », vise à copier la piste magnétique de la carte sur un support plastique qui sera utilisé soit pour le retrait d'argent dans les distributeurs n'utilisant pas la puce (il faut alors que les fraudeurs se soient également procurés le code confidentiel), soit pour le paiement d'achats lorsque les terminaux ne lisent pas la puce.

L'impossibilité actuelle, pour le titulaire d'une carte de paiement, d'invoquer l'utilisation frauduleuse de sa carte pour faire opposition entraîne deux conséquences dommageables.

D'une part, il est obligé de déclarer la perte ou le vol de sa carte alors même qu'il est toujours en sa possession. Il se trouve donc théoriquement en infraction et passible des sanctions relatives aux fausses déclarations.

D'autre part, en déclarant la perte ou le vol de sa carte, il est soumis à un régime moins favorable qu'en cas d'utilisation frauduleuse d'un moyen de paiement. En effet, dans le premier cas, le titulaire est considéré comme partiellement responsable. Il supporte donc la perte subie avant la mise en opposition, dans la limite d'un plafond fixé contractuellement dans le contrat porteur. En cas d'utilisation frauduleuse de la carte bancaire, la responsabilité du titulaire n'est pas engagée, sauf grave négligence de sa part. En conséquence, il est intégralement indemnisé.

II. LE DISPOSITIF PROPOSÉ PAR LE GOUVERNEMENT

Le présent article propose d'autoriser aux titulaires d'une carte bancaire de faire opposition au paiement par ladite carte en cas d'utilisation frauduleuse de celle-ci.

Il convient de remarquer que l'article L. 131.35 du code monétaire et financier dispose déjà qu'« il n'est admis d'opposition au paiement par chèque qu'en cas de perte, de vol ou d'utilisation frauduleuse du chèque, de redressement ou de liquidation judiciaires du porteur ».

II. LES MODIFICATIONS APPORTÉES PAR L'ASSEMBLÉE NATIONALE

Sur l'initiative de notre collègue député M. Bruno Le Roux, rapporteur de la commission des lois, l'Assemblée nationale a adopté un amendement qui autorise le titulaire de la carte bancaire à faire opposition en cas d'utilisation frauduleuse de la carte ou de ses numéros.

III. LA POSITION DE VOTRE COMMISSION

Votre commission s'est interrogée sur les cas de fraude que recouvre l'utilisation frauduleuse de la carte ou de ses numéros.

A cet égard, il convient de rappeler les propos du secrétaire d'Etat aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation, M. François Patriat, qui, lors des débats à l'Assemblée nationale, a énuméré les cas d'utilisation frauduleuse.

Il a rappelé que ces derniers étaient recensés par la décision cadre du Conseil européen visant à combattre la fraude et la contrefaçon des moyens de paiement autres que les espèces, déposée par la Commission européenne le 14 septembre 1999.

Trois cas sont énumérés :

- les transactions non autorisées par son titulaire effectuées en connaissance de cause, portant sur une carte de paiement ;

- l'utilisation en connaissance de cause d'une carte de paiement obtenue frauduleusement, fausse ou falsifiée, ou l'acceptation en connaissance de cause d'un paiement réalisé dans les conditions visées précédemment ;

- l'utilisation non autorisée en connaissance de cause de données d'identification, notamment les numéros de carte, pour le lancement ou le retraitement d'une opération de traitement.

Une analyse de ces trois cas aboutit aux constats suivants.

L'utilisation frauduleuse de la carte n'intervient que dans le premier cas, soit suite à la perte ou du vol de la carte, soit lorsque celle-ci est momentanément utilisée par le fraudeur puis rendue à son titulaire (le fraudeur fait alors partie de l'entourage proche du porteur). Dans les deux autres cas, il n'y a pas utilisation frauduleuse de la carte stricto sensu , mais des données liées à son usage, à savoir le nom et prénom du porteur, le numéro de 16 chiffres, la date de fin de validité et la signature ainsi que, éventuellement, le code confidentiel.

En conséquence, votre commission estime que la rédaction retenue par l'Assemblée nationale, qui fait référence à l'utilisation frauduleuse de la carte ou de ses numéros, est insuffisante. Votre commission vous proposera donc de remplacer le terme de « numéros » par celui de « données liées à son utilisation ».

Décision de la commission : votre commission vous propose un avis favorable à l'adoption de cet article ainsi modifié.

ARTICLE 7 bis

Section consacrée au contrat d'un titulaire d'une carte de paiement

Commentaire : le présent article vise à insérer dans le code de la consommation une section consacrée au contrat d'un titulaire d'une carte de paiement ou d'une carte de retrait.

A l'initiative de notre collègue député Jean-Pierre Brard, rapporteur pour avis de la commission des finances, l'Assemblée nationale a adopté un amendement qui insère, dans le code de la consommation, une section consacrée au contrat d'un titulaire d'une carte de paiement ou d'une carte de retrait.

Elle a reconnu que ces dispositions auraient pu être intégrées dans le chapitre II du titre III du livre 1 er du code monétaire et financier qui porte sur les cartes de paiement. Toutefois, elle a estimé que la création d'une section dans le livre 1 er du code de la consommation intitulé « information des consommateurs et formation des contrats » traduisait de manière plus appropriée la volonté de l'Assemblée nationale d'accroître la protection des porteurs de cartes.

Votre commission ne partage pas l'opinion de l'Assemblée nationale. Tout en étant également soucieuse de protéger les titulaires de cartes bancaires, elle estime que les dispositions adoptées par l'Assemblée nationale aux articles 7 ter à 7 sexies du présent projet de loi doivent être inscrites dans le code monétaire et financier. En conséquence, elle est défavorable à la création d'une nouvelle section dans le code de la consommation.

Décision de la commission : votre commission vous propose la suppression de cet article.

ARTICLE 7 ter

Fixation d'un plafond à la perte subie, en cas de vol ou de perte de la carte de paiement avant la mise en opposition

Commentaire : le présent article vise à fixer à 400 euros le plafond de la perte subie, en cas de vol ou de perte de la carte de paiement, avant la mise en opposition.

I. LA SITUATION ACTUELLE

1. Un régime contractuel

A l'heure actuelle, les droits et obligations des établissements de crédit et des porteurs de carte de paiement sont fixés de manière contractuelle, selon le modèle élaboré par le Groupement cartes bancaires « CB » et adopté par le conseil de direction du 4 septembre 1998.

L'article 10 dudit « contrat-type », intitulé « Responsabilité du titulaire de la carte », prévoit que le titulaire de la carte est responsable de son utilisation et de sa conservation. Il assume les conséquences de l'utilisation de la carte tant qu'il n'a pas fait opposition, dans la limite d'une franchise fixée par le contrat. Deux cas sont distingués :

- lorsque l'opération comporte le contrôle du code confidentiel , la franchise est fixée librement par l'émetteur pour les retraits d'espèces et ne peut dépasser 3.000 francs pour les paiements ;

- lorsque l'opération ne comporte pas le contrôle du code confidentiel, la franchise ne peut dépasser 600 francs pour les paiements ou les retraits d'espèces aux guichets.

En outre, toutes les opérations effectuées au moyen de la carte de paiement sont intégralement à la charge du titulaire en cas de faute ou d'imprudence de sa part, d'opposition tardive ou d'utilisation par un membre de sa famille.

Il convient de remarquer que le montant cumulé des franchises sur paiement peut atteindre des sommes importantes (le chiffre de 10.000 francs a été cité par le secrétaire d'Etat aux petites et moyennes d'entreprises, au commerce, à l'artisanat et à la consommation, M. François Patriat, lors des débats à l'Assemblée nationale, pour peu que l'opposition ne soit pas faite le jour même.

2. La charte relative à la sécurité des cartes de paiement

Le 22 février 2001, l'Association française des établissements de crédit et des entreprises d'investissement, la Fédération bancaire française et le Groupement des cartes bancaires « CB » se sont engagés à limiter le montant de la franchise laissée à la charge des porteurs, pour ce qui concerne la fraude antérieure à la déclaration de perte ou de vol à 400 euros, si le porteur a fait opposition immédiatement (24 heures) et s'il n'a pas commis de négligence.

II. LES DISPOSITIONS VOTÉES PAR L'ASSEMBLÉE NATIONALE

L'Assemblée nationale a estimé que l'engagement pris par le secteur bancaire constituait un progrès par rapport à la situation existante, mais qu'il restait trop restrictif sur deux points.

D'une part, elle a jugé que le délai de 24 heures pour effectuer la mise en opposition était trop court.

Il convient de rappeler que dans son rapport 7 ( * ) , notre collègue député Jean-Pierre Brard estimait que « ce délai apparaît exagérément bref, si l'on se rappelle qu'en moyenne, une carte réalise environ 115 opérations par an, soit une tous les trois jours » .

L'Assemblée nationale a fixé à deux jours francs le délai accordé au titulaire d'une carte de paiement pour effectuer la mise en opposition.

D'autre part, elle a souhaité abaisser progressivement le montant maximum de la franchise à 275 euros au 1 er janvier 2002 et à 150 euros à compter du 1 er janvier 2003.

Elle a rappelé que l'article 6 de la recommandation de la commission du 30 juillet 1997 8 ( * ) dispose que : « jusqu'à la notification, le titulaire est responsable des pertes consécutives à la perte ou au vol du moyen de paiement électronique , dans la limite d'un plafond qui ne peut dépasser 150 écus, sauf s'il a agi avec une négligence extrême ou frauduleusement ».

III. LA POSITION DE VOTRE COMMISSION

Comme il a été indiqué dans le commentaire de l'article 7 bis , votre commission n'est pas favorable à l'insertion des dispositions relatives à la responsabilité des titulaires de carte de paiement dans le code de la consommation. Elle vous proposera un amendement visant à intégrer le présent article dans le code monétaire et financier.

Votre commission s'interroge également sur la nécessité de fixer un délai limite pour la déclaration d'opposition, au-delà duquel le titulaire ne bénéficie plus du plafond de la franchise fixée à 400 euros.

En effet, la fréquence d'utilisation des cartes de paiement varie fortement d'un titulaire à l'autre. En conséquence, le délai de deux jours francs peut apparaître à la fois excessif, lorsque le titulaire de la carte l'utilise très régulièrement, et insuffisant, lorsque le titulaire n'en fait qu'une utilisation ponctuelle.

Jusqu'à présent, le contrat qui régit les relations entre l'émetteur de la carte et le titulaire prévoit seulement que le titulaire ne peut bénéficier du plafond de la franchise en cas d'opposition tardive. Pour autant, il ne semble pas que cette notion, qui laisse une marge d'appréciation aux banques mais également aux juges, ait suscité de nombreux contentieux.

Selon les informations obtenues par votre rapporteur, pour apprécier si l'opposition a été tardive, la Cour de cassation tient compte, notamment, de la fréquence d'utilisation de la carte et de la réception des relevés de compte sur lesquels figurent les opérations initiées à l'aide de la carte ainsi que des circonstances de l'espèce.

Votre commission vous proposera donc de supprimer le délai de deux jours francs et d'exiger du porteur qu'il effectue la mise en opposition dans les meilleurs délais, compte tenu de ses habitudes d'utilisation de la carte de paiement.

Par ailleurs, votre commission s'interroge sur le plafond de franchise unique retenu par l'Assemblée nationale. Comme il a été indiqué précédemment, le contrat « porteur » propose à l'heure actuelle une distinction entre les opérations comportant le contrôle du code confidentiel, pour lesquelles la franchise est de 3.000 francs pour les paiements, et les opérations ne comportant pas le contrôle du code confidentiel, pour lesquelles la franchise est seulement de 600 francs pour les paiements.

Cette distinction s'explique par la notion de partage du risque : lorsque les banques ont investi pour mettre en oeuvre un système de paiement très sécurisé à travers l'utilisation du code confidentiel, il apparaît logique que le porteur de carte qui perd ou se fait voler sa carte, mais également son code confidentiel, subisse une perte financière plus importante que lorsque le système est moins bien sécurisé.

A cet égard, il convient de souligner que le plafond de la franchise retenu dans la charte (400 euros) correspond à la situation dans laquelle l'opération réalisée suite à la perte ou au vol de la carte comporte le contrôle du code confidentiel.

Dans le cas où l'opération ne carte comporte pas le contrôle du code confidentiel, le plafond prévu était de 90 euros.

Il est regrettable que les dispositions proposées par l'Assemblée nationale n'aient pas distingué entre ces deux cas. La baisse substantielle de la franchise de 400 euros à 150 euros, que le vol ou la perte de la carte se soit accompagné de l'acquisition du code confidentiel ou pas, conduit à déresponsabiliser les porteurs de carte et n'incite pas les établissements de crédit à renforcer la sécurité des paiements par le développement de la carte à puce.

Décision de la commission : votre commission vous propose un avis favorable à l'adoption de cet article ainsi modifié.

ARTICLE 7 quater

Limitation de la responsabilité du porteur de carte de paiement utilisée frauduleusement

Commentaire : le présent article vise à dégager la responsabilité du titulaire de la carte de paiement utilisée frauduleusement.

I. LE DISPOSITIF ADOPTÉ

A l'initiative de notre collègue député Jean-Pierre Brard, l'Assemblée nationale a adopté un article additionnel inséré dans le code de la consommation qui dégage la responsabilité du titulaire de la carte en cas d'utilisation frauduleuse sans qu'il y ait dépossession de la carte.

La première phrase de cet article énumère deux situations dans lesquelles les données figurant sur la carte peuvent être utilisées frauduleusement sans que le titulaire ait été dépossédé de sa carte de paiement : lorsqu'il n'y a pas de présentation physique ou d'identification électronique de la carte. Selon les informations obtenues par votre rapporteur, en l'état de la technologie actuelle, l'identification électronique correspond soit à la vérification de la cohérence du code confidentiel par la piste magnétique, soit à la vérification du code par la puce. Des recherches sont effectuées pour développer d'autres éléments d'identification électroniques, comme l'utilisation des empreintes digitales ou de l'iris 9 ( * ) .

La fraude sans présentation physique de la carte touche exclusivement la vente à distance. Elle consiste, pour un fraudeur, à s'accaparer les données d'identification de la carte (nom, prénom, numéro et date d'expiration) et à les réutiliser.

La fraude sans identification électronique vise également la vente à distance, mais également la vente à proximité lorsque le terminal de paiement électronique lit exclusivement la piste magnétique. Selon les informations obtenues par votre rapporteur, la copie de la piste magnétique sur une carte en plastique vierge constitue l'une des fraudes courantes (technique du « white plastic »).

Il convient de noter que la première phrase du présent article s'inspire directement de la recommandation de la Commission européenne du 30 juillet 1997 10 ( * ) qui dispose que « la responsabilité du titulaire n'est pas engagée si l'instrument de paiement a été utilisé sans présentation physique ou sans identification électronique (de l'instrument même) ».

La deuxième phrase du présent article précise que l'utilisation du code confidentiel ou de tout élément d'identification similaire n'est pas suffisante pour engager la responsabilité du titulaire, sauf s'il a agi avec une négligence constituant une faute lourde.

De nouveau, cette phrase est directement inspirée de la recommandation précitée de la Commission européenne qui dispose que « la seule utilisation d'un code confidentiel ou de tout élément d'identification similaire n'est pas suffisante pour engager la responsabilité du titulaire ».

Dans son avis précité 11 ( * ) , notre collègue député Jean-Pierre Brard ne s'est guère montré explicite sur la signification exacte de cette disposition. Seul le titre résumant la partie du rapport consacré à ce sujet, « la responsabilité du porteur ne doit pas être engagée en cas d'utilisation frauduleuse de sa carte » laisse penser que l'utilisateur n'est dégagé de sa responsabilité qu'en cas d'utilisation frauduleuse.

Les explications du secrétaire d'Etat aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation, M. François Patriat, confirment cette interprétation. Celui-ci a en effet déclaré que « la seconde phrase porte, quant à elle, sur le cas de fraude dans lequel le délinquant s'est approprié le code confidentiel du porteur sans que celui-ci ait commis une négligence ».

Ces précisions sont importantes dans la mesure où elles délimitent le champ d'application de la troisième phrase qui prévoit la recréditation des sommes débitées sur le compte du porteur de carte en cas d'utilisation frauduleuse de cette dernière par un tiers. Pour bénéficier de cette disposition, le titulaire doit contester par écrit avoir effectué un paiement ou un retrait. Dans ce cas, les sommes qu'il conteste lui sont recréditées sur son compte par l'émetteur de la carte ou restituées sans frais, au plus tard dans le délai d'un mois à compter de la réception de la contestation.

La charte signée le 22 février dernier par l'Association française des établissements de crédit et des entreprises d'investissement, la Fédération bancaire française et le Groupement des cartes bancaires « CB » prévoit d'inscrire dans le contrat « porteur » le droit pour le titulaire de la carte de se faire rembourser les débits contestés de bonne foi liés à des achats à distance n'impliquant ni signature manuscrite, ni frappe du code confidentiel.

En conséquence, cet engagement est plus réduit que l'obligation légale instaurée par le présent article sur deux points :

- alors que la charte ne vise que les achats à distance, le présent article vise non seulement certaines fraudes liées au paiement de proximité lorsque le code n'est pas demandé, mais également toutes les fraudes qui impliquent l'utilisation du code confidentiel ou de tout autre élément d'identification similaire ;

- par ailleurs, la charte ne précise pas le délai dans lequel le titulaire se voit remboursé des débits contestés.

II. LA POSITION DE VOTRE COMMISSION

Votre commission comprend le souci de dégager la responsabilité du titulaire de bonne foi en cas d'utilisation frauduleuse par un tiers des éléments d'identification de sa carte de paiement. Il lui paraît également légitime que ce dernier n'ait pas à supporter les conséquences financières de la fraude et puisse voir son compte recrédité des sommes contestées.

Toutefois, votre commission s'inquiète des conséquences qui pourraient résulter de la rédaction retenue par l'Assemblée nationale. En effet, la deuxième phrase du présent article dégage le titulaire de sa responsabilité en cas d'utilisation de son code confidentiel sans préciser qu'il faut limiter le champ d'application de cette disposition à l'utilisation frauduleuse du code confidentiel. Or, l'absence de cette précision tend à remettre en cause le principe d'irrévocabilité de l'ordre de paiement qui figure au premier alinéa de l'article L. 132-2 du code monétaire et financier. En effet, cette phrase peut être interprétée de telle sorte que tout titulaire pourrait contester les sommes débitées suite à l'utilisation de sa carte de paiement.

A cet égard, il convient de remarquer que la recommandation précitée de la Commission européenne comporte déjà ce risque. En effet, certains pays de l'Union européenne n'ont pas reconnu le principe de l'irrévocabilité de l'ordre ou l'engagement de payer. Les titulaires d'une carte de paiement sont donc autorisés à contester les sommes qui leur sont débitées même en l'absence d'utilisation frauduleuse de leur carte.

L'Assemblée nationale a reconnu les difficultés d'interprétation de la rédaction retenue et les dangers qu'elle faisait courir au principe de l'irrévocabilité de l'ordre ou de l'engagement de payer. Elle a donc essayé de circonscrire le champ d'application de la recréditation des sommes contestées par l'expression « dans ces deux cas » qui est censée renvoyer, d'une part à l'utilisation frauduleuse de la carte de paiement sans présentation physique ou sans identification électronique et, d'autre part, à l'utilisation d'un code confidentiel ou de tout élément d'identification similaire. Toutefois, cette précision est insuffisante puisque l'utilisation du code n'est pas associée à une fraude de la part d'un tiers.

Votre commission propose de modifier la rédaction de la deuxième phrase du présent article en précisant que l'utilisation frauduleuse d'un code confidentiel ou de tout élément d'identification similaire n'engage pas la responsabilité du titulaire, sauf s'il a agi avec une négligence constituant une faute lourde.

Par ailleurs, votre commission vous propose de mieux préciser les cas dans lesquels la recréditation des sommes contestées peut intervenir. Elle souhaite ainsi remplacer les termes « dans ces deux cas » par les termes « dans les cas visés aux deux phrases précédentes » qui font référence aux fraudes sans présentation physique ou sans intervention électronique d'une part, et aux fraudes associées à l'utilisation d'un code confidentiel par un tiers d'autre part.

Votre commission tient cependant à faire remarquer qu'en dépit des améliorations qu'elle propose l'adoption de cette disposition risque d'avoir des répercussions non négligeables sur les relations entre les émetteurs de carte et les porteurs d'une part, et les émetteurs de carte et les commerçants d'autre part.

En effet, le système de l'irrévocabilité de l'ordre de paiement repose sur le fait que le titulaire de la carte est présumé être l'auteur des opérations dès lors qu'il s'est identifié, soit par la signature manuscrite de la facturette, soit par la tabulation du code confidentiel.

Le présent article vise à dégager la responsabilité du porteur en cas d'utilisation frauduleuse du code confidentiel. Dans la pratique, la charge de la preuve revient à l'émetteur de la carte. Or, celui-ci sera dans la plupart des cas obligé d'accepter qu'il y a en utilisation frauduleuse en l'absence de preuve matérielle relative à la bonne foi du porteur.

Les établissements de crédit risquent donc de modifier les contrats signés avec les commerçants pour préciser qu'ils assurent le crédit du compte du commerçant, sauf contestation du porteur. En conséquence, les commerçants auront à supporter la perte financière liée à la contestation des opérations réalisées avec la tabulation du code confidentiel.

L'importance de cette perte dépendra du comportement des porteurs. En effet, outre les cas réels d'utilisation frauduleuse du code confidentiel, certains pourraient être tentés de contester des opérations qu'ils ont réalisées, sachant que leur mauvaise foi ne pourra pas être établie.

Les établissements de crédit peuvent également décider de s'assurer contre le risque lié à la possibilité donnée au porteur de contester des opérations comportant l'utilisation du code confidentiel. Il est cependant évident que les établissements de crédits répercuteront cette nouvelle charge financière sur les porteurs.

Enfin, votre commission propose d'insérer ces dispositions dans le code monétaire et financier au lieu du code de la consommation.

Décision de la commission : votre commission vous propose un avis favorable à l'adoption de cet article ainsi modifié.

ARTICLE 7 quinquies

Remboursement des frais supportés en cas d'utilisation frauduleuse
de la carte de paiement

Commentaire : le présent article vise à imposer à l'émetteur de la carte de paiement le remboursement à son titulaire de la totalité des frais supportés en cas d'utilisation frauduleuse de la carte.

I. LE DISPOSITIF PROPOSÉ

A l'initiative de notre collègue député Jean-Pierre Brard, l'Assemblée nationale a adopté le présent article qui impose à l'émetteur de la carte de paiement le remboursement à son titulaire de la totalité des frais supportés en cas d'utilisation frauduleuse de la carte.

Il convient de rappeler que l'article 7 quater pose le principe de la recréditation des sommes débitées suite à l'utilisation frauduleuse d'une carte de paiement et contestées par le titulaire de la carte.

Toutefois, les conséquences financières pour la victime de la fraude dépassent le débit de son compte des sommes contestées. Ainsi, si le montant des paiements ou des retraits effectués de manière frauduleuse est tel que le compte du porteur est en découvert, ce dernier devra payer des agios.

Par ailleurs, l'octroi d'une nouvelle carte de paiement a un coût, supporté par le titulaire.

Dans la charte signée le 22 février dernier, l'Association française des établissements de crédit et des entreprises d'investissement, la Fédération bancaire française et le Groupement des cartes bancaires « CB » se sont engagés à ce que les porteurs aient droit à un remboursement des frais bancaires subis en cas de fraude liée à l'utilisation d'un numéro de carte ou d'une carte contrefaite.

L'Assemblée nationale s'est inspirée de cette disposition tout en l'élargissant sur deux points.

D'une part, elle a précisé que le remboursement des frais intervient en cas d'utilisation frauduleuse d'une carte de paiement ou de retrait sans limiter les cas de fraude à l'utilisation d'un numéro de carte ou d'une carte contrefaite.

D'autre part, elle n'a pas souhaité limiter le remboursement aux seuls frais bancaires, estimant que cela restreindrait trop les droits des victimes potentielles.

II. LA POSITION DE VOTRE COMMISSION

Votre commission est favorable au fait que le titulaire soit remboursé, par l'émetteur d'une carte de paiement ou de retrait, de la totalité des frais qu'il a supportés en cas d'utilisation frauduleuse de sa carte. Toutefois, elle s'interroge sur la portée du champ d'application du présent article. En effet, il faut éviter que la rédaction retenue n'autorise certains porteurs indélicats à exiger le remboursement de frais qui ne sont pas directement liés à l'utilisation frauduleuse de la carte. De manière caricaturale, il ne faudrait pas que, sous prétexte de l'utilisation frauduleuse de sa carte, le porteur qui se trouverait très éloigné géographiquement de sa banque puisse rentrer en France en se faisant rembourser le billet d'avion par son établissement de crédit.

Lors des débats à l'Assemblée nationale, le secrétaire d'Etat aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation a précisé que le remboursement intégral devait être interprété « au sens où l'entend le rapport du conseil national de la consommation ». Il s'agit des frais liés aux agios, à l'interdiction bancaire, à la mise en opposition et au renouvellement de la carte.

Dans ces conditions, votre commission ne comprend pas le refus de l'Assemblée nationale et du gouvernement de préciser qu'il s'agit du remboursement des frais bancaires. Ce terme figure dans la charte et n'avait soulevé au moment de sa signature aucune critique de la part du gouvernement.

Votre commission vous proposera donc de préciser exactement la nature des frais que les établissements de crédit ont le devoir de rembourser aux porteurs de carte en cas d'utilisation frauduleuse de cette dernière.

Par ailleurs, votre commission vous proposera de nouveau d'insérer cette disposition dans le code monétaire et financier, au lieu du code de la consommation.

Décision de la commission : votre commission vous propose un avis favorable à l'adoption de cet article ainsi modifié.

ARTICLE 7 sexies

Délais de réclamation

Commentaire : le présent article vise à accorder au porteur de carte un délai légal de réclamation de 62 jours à compter de la date de l'opération contestée, qui peut être étendu à 120 jours contractuellement.

I. LE DISPOSITIF PROPOSÉ

L'article 13 du contrat porteur modèle « CB » prévoit que le titulaire de la carte dispose d'un délai de 120 jours à compter de la date de l'opération pour contester cette dernière. Toutefois, il ne s'agit que d'une recommandation et chaque émetteur peut fixer librement le délai accordé au porteur. Selon les informations obtenues par votre rapporteur, certains établissements fixent un délai beaucoup plus court, de 30 jours.

Le présent article vise à uniformiser les délais de réclamation d'une opération de paiement ou de retrait effectuée par carte. Désormais, le titulaire d'une carte de paiement ou de retrait aurait la possibilité de déposer une réclamation dans les 62 jours à compter de la date de l'opération contestée. Le chiffre 62 a été préféré à celui de 60 parce que les mois de juillet et août comptent chacun 31 jours.

Par ailleurs, chaque émetteur de carte pourra fixer un délai de réclamation plus long, qui ne devra pas être supérieur à 120 jours. Il faut en effet assurer un équilibre entre la protection des consommateurs et celle des commerçants d'une part et, d'autre part éviter de pénaliser les établissements de crédit par l'instauration d'un délai trop important pendant lequel les sommes débitées peuvent être contestées.

II. LA POSITION DE VOTRE COMMISSION

Votre commission estime que le délai de 62 jours accordé au titulaire de la carte pour contester les sommes débitées sur son compte est raisonnable et constitue un compromis acceptable par toutes les parties. Toutefois, il ne tient pas compte des délais postaux. Votre commission vous proposera donc d'allonger ce délai à 70 jours.

Par ailleurs, elle estime que la rédaction retenue par l'Assemblée nationale prête à confusion en faisant référence à « un délai de cent vingt jours maximum et qui ne peut être inférieur à soixante-deux jours » . Cette phrase peut en effet être comprise de telle sorte que la contestation doit intervenir après 62 jours et avant 120 jours à compter de la date de l'opération.

Votre commission vous proposera donc une nouvelle rédaction de cette phrase qui dispose que le titulaire a la possibilité de déposer une réclamation dans un délai de 70 jours, qui peut être prolongé contractuellement sans pouvoir dépasser 120 jours.

Par ailleurs, votre commission vous proposera d'insérer cette disposition dans le code monétaire et financier au lieu du code de la consommation.

Décision de la commission : votre commission vous propose un avis favorable à l'adoption de cet article ainsi modifié.

ARTICLE 8

Renforcement des pouvoirs de la Banque de France en matière de sécurité des moyens de paiement

Commentaire : le présent article vise à renforcer les pouvoirs de la Banque de France en matière de sécurité des moyens de paiement

I. LE DISPOSITIF ACTUEL

L'article L. 141-4 du code monétaire dispose que « la Banque de France veille au bon fonctionnement et à la sécurité des systèmes de paiement dans le cadre de la mission du Système européen de banques centrales relative à la promotion du bon fonctionnement des systèmes de paiement prévue par l'article 105, paragraphe 2 du traité instituant la Communauté européenne » .

Ledit article prévoit que le Système européen de banques centrales a pour mission de promouvoir le bon fonctionnement des systèmes de paiement. Le cadre général de la surveillance est défini par le Conseil des gouverneurs de la Banque centrale européenne, tandis que les banques centrales nationales sont chargées de la surveillance des systèmes domestiques.

Dans sa déclaration publiée le 21 juin 2000, la Banque centrale européenne distingue quatre objectifs : la prévention du risque systémique dans les systèmes de paiement, la promotion d'un fonctionnement efficace de ces systèmes, la sécurité des moyens de paiement utilisés par le public et la protection des mécanismes de transmission de la politique monétaire.

En conséquence, la Banque de France a intégré dans le champ de sa surveillance les moyens de paiement, même si ses statuts ne le mentionnent pas explicitement. En tant qu'observateur au conseil de direction du Groupement cartes bancaires « CB », elle est tenue informée des actions menées dans le domaine des cartes de paiement et de retrait. En outre, elle participe au comité chargé de l'analyse des risques pesant sur ledit groupement et de la lutte contre la fraude. Toutefois, lorsque des décisions lui paraissent de nature à compromettre la sécurité des cartes et la confiance des utilisateurs, la Banque de France ne peut que manifester son opposition au sein du conseil de direction du groupement cartes bancaires afin de peser sur les prises de position des participants. Elle ne dispose d'aucun pouvoir contraignant.

II. LE DISPOSITIF PROPOSÉ PAR LE GOUVERNEMENT

Le présent article vise à renforcer la sécurité des moyens de paiement autres que les espèces en confiant explicitement à la Banque de France le soin d'apprécier la sécurité des instruments de paiement et la pertinence des normes applicables en la matière. En outre, si elle estime qu'un de ces moyens de paiement présente des garanties de sécurité insuffisantes, elle a le pouvoir de recommander à son émetteur de prendre toutes mesures destinées à y remédier. Si ses recommandations ne sont pas suivies d'effet, la Banque de France peut décider de formuler un avis négatif et de le rendre public.

Le deuxième alinéa du présent article précise que pour l'exercice de ces missions, la Banque de France procède aux expertises et se fait communiquer les informations utiles.

III. LES MODIFICATIONS APPORTÉES PAR L'ASSEMBLÉE NATIONALE

L'Assemblée nationale a procédé à plusieurs modifications rédactionnelles du présent article.

D'abord, elle a souhaité que la formulation d'un avis négatif soit précédée par un débat contradictoire entre l'émetteur et la Banque de France. Elle a donc précisé que l'avis était émis après avoir recueilli les observations de l'émetteur.

Ensuite, l'Assemblée nationale a supprimé le caractère facultatif de la publication d'un avis négatif de la Banque de France et l'a formalisé en prévoyant qu'il sera publié au Journal Officiel. Le secrétaire d'Etat aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation, M. François Patriat, a cependant précisé « que la publication au Journal Officiel ne sera pas exclusive et pourra être précédée, notamment en cas d'urgence, d'un communiqué de presse ou de toute autre forme de publication que la Banque de France jugera adaptée compte tenu des risques encourus par le public » .

L'Assemblée nationale a également précisé que non seulement les émetteurs, mais également toute personne intéressée peuvent communiquer les informations utiles à la Banque de France pour assurer la sécurité des moyens de paiement. Cette disposition vise notamment les sociétés de service et les organisations à vocation commerciale ou logistique.

Par ailleurs, l'Assemblée nationale a défini le champ des informations que la Banque de France peut se faire communiquer. Il s'agit de renseignements concernant les moyens de paiement ainsi que les terminaux et les dispositifs techniques qui leur sont associés. Lors de la discussion de cet amendement, son auteur, notre collègue député Jean-Pierre Brard, a rappelé l'importance des terminaux dans la sécurité des cartes à puce et a souligné que le rapport du groupe technique dans le cadre des travaux du conseil national de la consommation avait considéré que « les terminaux, au même titre que la puce, pourraient être soumis à une évaluation de la sécurité conformément au schéma national associé à un programme de maintenance » .

Enfin, l'Assemblée nationale a créé un observatoire de la sécurité des cartes de paiement qui regroupe des parlementaires, des représentants des administrations concernées, des émetteurs de cartes de paiement et des associations de commerçants et de consommateurs. Il s'agit donc d'une instance de dialogue qui regroupe les différents acteurs concernés par la sécurité des cartes de paiement.

L'observatoire doit assurer le suivi des mesures de sécurisation entreprises par les émetteurs et les commerçants, l'établissement de statistiques sur la fraude et une veille technologique en matière de cartes de paiement, avec pour objet de proposer des moyens de lutte contre les atteintes d'ordre technologique à la sécurité des cartes de paiement.

Comme a indiqué le secrétaire d'Etat, M. François Patriat, la Banque de France est déjà chargée en matière d'évaluation, des mesures de sécurisation des cartes de paiement. L'observatoire ne peut donc pas exercer parallèlement une telle mission d'évaluation. Sa compétence consiste en un suivi général des mesures d'évaluation.

Par ailleurs, il est prévu que le secrétariat de l'observatoire sera assuré par la Banque de France. Celle-ci pouvait en effet difficilement assurer la présidence de cet organisme dans la mesure où elle est déjà chargée de veiller à la sécurité des cartes de paiement. Elle se serait alors retrouvée juge et partie.

Le président de cet observatoire est désigné parmi ses membres. Les débats à l'Assemblée nationale laissent à penser que cette fonction sera occupée par un parlementaire.

Enfin, le dernier alinéa du présent article dispose qu'un décret en Conseil d'Etat précise la composition de cet organisme et ses compétences.

IV. LA POSITION DE VOTRE COMMISSION

Votre commission est favorable aux dispositions contenues dans le présent article. Elle constate que le gouvernement avait déjà annoncé la création d'un observatoire de la sécurité des cartes de paiement qui, conformément à sa nature, aurait été créé par voie réglementaire. L'Assemblée nationale a cependant souhaité souligner l'intérêt de la représentation nationale pour la sécurité des moyens de paiement en créant légalement cet organisme.

Votre commission vous proposera un amendement qui impose audit observatoire la remise annuelle d'un rapport d'activité au gouvernement et au Parlement.

Décision de la commission : votre commission vous propose un avis favorable à l'adoption de cet article ainsi modifié.

ARTICLE 16

Application à l'outre-mer des dispositions des chapitres II et III du présent projet de loi

Commentaire : le présent article vise à étendre l'application de certaines dispositions du présent projet de loi en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et à Mayotte.

I. LE DISPOSITIF PROPOSÉ

Le premier paragraphe du présent article propose d'appliquer en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et à Mayotte les dispositions des chapitres II et III du présent projet de loi. Il s'agit d'une part des dispositions modifiant le code de procédure pénale et le code de la route (sur lesquelles votre commission ne s'est pas saisie pour avis) et, d'autre part, des dispositions modifiant le code monétaire et financier à l'exception de celles contenues à l'article 8, applicables uniquement à Mayotte.

En effet, l'article 8 du présent projet de loi porte sur le renforcement des pouvoirs de la Banque de France en matière de sécurité des moyens de paiement. Or, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, c'est l'institut d'émission d'outre-mer qui exerce certaines fonctions attribuées normalement à la Banque de France, en liaison avec cette dernière.

C'est la raison pour laquelle le second paragraphe du présent article propose d'accorder à l'institut d'émission d'outre-mer les mêmes prérogatives accordées par l'article 8 précité à la Banque de France en matière de sécurité des moyens de paiement autres que fiduciaires. Désormais, si l'institut d'émission d'outre-mer estime qu'un moyen de paiement ne présente pas des garanties de sécurité suffisantes, il peut recommander à son émetteur de prendre les mesures nécessaires pour remédier à cette situation. Si ses recommandations ne sont pas suivies d'effet, il peut décider de formuler un avis négatif et de le rendre public.

Par ailleurs, il est indiqué que pour l'exercice de ces missions, l'institut d'émission d'outre-mer procède aux expertises et se fait communiquer les informations utiles.

II. LES MODIFICATIONS APPORTÉES PAR L'ASSEMBLÉE NATIONALE

L'Assemblée nationale avait modifié la rédaction de certaines dispositions contenues à l'article 8 du présent projet de loi. Par coordination, elle a donc apporté les mêmes modifications à l'article 16. Ainsi, elle a imposé à l'institut d'émission d'outre-mer de recueillir les observations de l'émetteur avant de formuler un avis négatif. Elle a également instauré l'obligation de publier ce dernier au Journal officiel.

L'Assemblée nationale a en outre précisé que les informations utiles que l'institut d'émission d'outre-mer peut se faire communiquer, portent sur les moyens de paiement et les terminaux ou les dispositifs techniques qui leur sont associés.

En revanche, l'Assemblée nationale n'a pas indiqué que ces informations pouvaient être communiquées à l'institut d'émission d'outre-mer par l'émetteur ou par toute personne intéressée.

Elle a par ailleurs inséré une précision dans le présent article qui avait été rejetée lors de la discussion de l'article 8 du présent projet, selon laquelle l'institut d'émission d'outre-mer peut faire procéder, sous contrôle, aux expertises nécessaires à sa mission. Le gouvernement avait fait remarquer que la Banque de France dispose d'une expertise technique suffisante pour accomplir sa mission de surveillance de la sécurité des moyens de paiement. En outre, le présent projet de loi n'empêchera pas la Banque de France, si elle le juge utile, de passer ponctuellement un marché pour recourir aux services d'un expert extérieur, afin d'examiner un projet particulier.

III. LA POSITION DE VOTRE COMMISSION

Votre commission partage la volonté d'étendre à l'institut d'émission d'outre-mer les prérogatives données à la Banque de France en matière de sécurité des moyens de paiement. Toutefois, elle estime que leurs prérogatives doivent être identiques.

En conséquence, elle vous proposera de supprimer la disposition permettant à l'institut d'émission d'outre-mer de faire procéder à des expertises, qu'elle juge inopportune.

Dans le même esprit, elle vous proposera d'ajouter que ledit institut peut se faire communiquer par l'émetteur ou toute personne intéressée les informations utiles pour sa mission.

Décision de la commission : votre commission vous propose un avis favorable sur l'adoption de cet article ainsi modifié.

AMENDEMENTS ADOPTÉS PAR LA COMMISSION

ARTICLE 7

Dans le texte proposé par cet article pour le second alinéa de l'article L. 132-2 du code monétaire et financier, remplacer les mots :

de ses numéros,

par les mots :

des données liées à son utilisation,

ARTICLE 7 bis

Supprimer cet article.

ARTICLE 7 ter

Rédiger ainsi le début de cet article :

Après l'article L. 132-2 du code monétaire et financier, il est inséré un article L. 132-3 ainsi rédigé :

« Art. L. 132-3. - Le titulaire... (le reste sans changement)

ARTICLE 7 ter

Rédiger ainsi la fin du premier alinéa du texte proposé par cet article pour l'article L. 121-83 du code de la consommation :

... ne peut dépasser 400 €. Toutefois, s'il a agi avec une négligence fautive ou si, après la perte ou le vol de ladite carte, il n'a pas effectué la mise en opposition dans les meilleurs délais, compte tenu de ses habitudes d'utilisation de la carte de paiement, le plafond prévu à la phrase précédente n'est pas applicable.

ARTICLE 7 quater

Rédiger ainsi cet article :

Après l'article L. 132-2 du code monétaire et financier, il est inséré un article L.132-4 ainsi rédigé :

« Art. L. 132-4. - La responsabilité du titulaire d'une carte mentionnée à l'article L. 132-1 n'est pas engagée si le paiement contesté a été effectué frauduleusement sans présentation physique de la carte ou sans identification électronique.

« De même, sa responsabilité n'est pas engagée en cas d'utilisation frauduleuse du code confidentiel ou de tout élément d'identification, sauf s'il a agi avec une négligence fautive.

« Dans les cas prévus aux deux alinéas précédents, si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l'émetteur de la carte ou restituées, sans frais, au plus tard dans le délai d'un mois à compter de la réception de la contestation.».

ARTICLE 7 quinquies

Rédiger ainsi cet article :

Après l'article L. 132-2 du code monétaire et financier, il est inséré un article L. 132-5 ainsi rédigé :

« Art. L. 132-5. - En cas d'utilisation frauduleuse de la carte mentionnée à l'article L. 132-1, l'émetteur de la carte rembourse à son titulaire les frais d'opposition et d'émission d'une nouvelle carte ainsi que les éventuels frais liés au fonctionnement du compte, c'est-à-dire les agios, les frais de dossier et les frais d'incidents sur moyens de paiement qu'il a supportés à raison de la fraude.».

ARTICLE 7 sexies

Rédiger ainsi cet article :

Après l'article L. 132-2 du code monétaire et financier, il est inséré un article L. 132-6 ainsi rédigé :

« Art. L. 132-6. - Le délai légal pendant lequel le titulaire d'une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours. ».

ARTICLE 8

Compléter le texte proposé par cet article pour compléter l'article L. 141-4 du code monétaire et financier par un alinéa ainsi rédigé :

« L'Observatoire établit chaque année un rapport d'activité remis au ministre chargé de l'économie, des finances et de l'industrie et transmis au Parlement. ».

ARTICLE 16

Dans le second alinéa du texte proposé par le II de cet article pour compléter l'article L. 712-5 du code monétaire et financier, supprimer les mots :

, ou fait procéder sous son contrôle

ARTICLE 16

Dans le second alinéa du texte proposé par le II de cet article pour compléter l'article L. 712-5 du code monétaire et financier, après les mots :

et se fait communiquer

insérer les mots :

, par l'émetteur ou par toute personne intéressée,

EXAMEN EN COMMISSION

Réunie le lundi 21 juin 2001 sous la présidence de Mme Marie-Claude Beaudeau, vice-présidente, la commission des finances a procédé à l'examen du projet de loi n° 296 (2000-2001), relatif à la sécurité quotidienne, sur le rapport pour avis de M. André VALLET , rapporteur pour avis.

Après que le rapporteur pour avis a présenté les lignes directrices de son rapport, la commission a procédé à l'examen des articles .

A l'article 7 , la commission a adopté, sur proposition du rapporteur pour avis, un amendement qui élargit la notion d'utilisation frauduleuse de la carte à l'utilisation frauduleuse des données liées à son utilisation.

Puis la commission a adopté, sur proposition du rapporteur pour avis, un amendement de suppression de l'article 7 bis .

A l'article 7 ter , la commission a adopté, sur proposition du rapporteur pour avis, deux amendements, l'un qui intègre le présent article dans le code monétaire et financier et l'autre qui supprime le délai de deux jours francs pour effectuer la mise en opposition et exige du porteur qu'il se soumette à cette obligation dans les meilleurs délais, compte tenu des habitudes d'utilisation de la carte de paiement.

A l'article quater , la commission a adopté, sur proposition du rapporteur pour avis, un amendement qui précise que ce n'est qu'en cas d'utilisation frauduleuse du code confidentiel ou de tout élément d'identification similaire que la responsabilité du titulaire n'est pas engagée.

A l'article quinquies , la commission a adopté, sur proposition du rapporteur pour avis, un amendement qui précise la nature des frais que les établissements de crédit ont le devoir de rembourser aux porteurs de carte en cas d'utilisation frauduleuse de cette dernière.

A l'article 7 sexies , la commission a adopté, sur proposition du rapporteur pour avis, un amendement qui précise que le porteur de carte a la possibilité de déposer une réclamation dans un délai légal de 70 jours, qui peut être prolongé contractuellement sans pouvoir dépasser 120 jours.

A l'article 8 , la commission a adopté, sur proposition du rapporteur pour avis, un amendement qui impose à l'observatoire de la sécurité des cartes de paiement de remettre chaque année un rapport d'activité au ministre chargé de l'économie, des finances et de l'industrie, rapport qui doit également être transmis au Parlement.

A l'article 16 , la commission a adopté, sur proposition du rapporteur pour avis, deux amendements afin de coordonner les prérogatives de la Banque de France et celles de l'institut d'émission d'outre-mer en matière de sécurité des moyens de paiement.

* 1 Les cartes bancaires « CB » sont émises dans les conditions fixées par le Groupement des cartes bancaires « CB », le titulaire de la carte ayant signé avec l'émetteur un contrat dit « porteur », dont le contenu reprend les dispositions contenues dans un contrat type élaboré par le Groupement des cartes bancaires « CB ». Fin 2000, 40,9 millions de cartes bancaires « CB » étaient en circulation. Il existe toutefois d'autres cartes bancaires (cartes Cetelem, cartes American Express par exemple). Le taux de fraude lié à leur utilisation n'est pas pris en compte par les statistiques du Groupement des cartes bancaires « CB ».

* 2 Conseil national de la consommation : rapport au ministre de l'économie, des finances et de l'industrie et au secrétaire d'Etat aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation sur la sécurité des cartes de paiement ; février 2001 ; pages 5 et 6.

* 3 Rapport précité sur la sécurité des cartes de paiement, pages 37 et 38.

* 4 Les banques se sont lancées dans cet investissement tout en faisant part de leurs réticences à partir de deux arguments. Elles jugent cet investissement excessif au regard du montant de la fraude constatée (61 millions de francs en 2000). En outre, elles font remarquer que cet investissement ne mettra pas un terme aux fraudes liées au retrait de billets de banque : les autres types de fraude par l'utilisation de la violence ou l'abus de confiance persisteront  tandis que les retraits effectués par des cartes bancaires étrangères, qui ne possèdent pas de puce, se feront toujours exclusivement par la lecture de la piste.

* 5 Il conviendrait que les contrats porteurs stipulent que les enregistrements des DAB constituent des preuves simples susceptibles d'être contestées par tous moyens (article 7.1) et que l'émetteur ne limite pas sa responsabilité, en cas de mauvais fonctionnement du système, au seul préjudice direct subi par le porteur (article 7.2)

* 6 Il convient toutefois de noter que les émetteurs de carte s'étaient engagés à fixer le montant de la franchise à 400 euros. Dans le texte adopté par l'Assemblée nationale, le plafond devrait être limité à 275 euros dès le 1 er janvier 2002 et à 150 euros dès le 1 er janvier 2003.

* 7 Jean-Pierre Brard : Sécurité quotidienne avis, n° 2992 XIe législature, page 99

* 8 97/489/CE : Recommandation de la commission du 30 juillet 1997 concernant les opérations effectuées au moyen d'instruments de paiement électronique, en particulier la relation entre émetteur et titulaire.

* 9 Selon certains spécialistes, l'iris dispose de 250 caractéristiques mesurables, qui, entre l'âge de 18 mois et le décès de l'individu, restent identiques. Après l'insertion d'une carte dans un DAB, une photo de l'iris, digitalement codée, est comparée à une photo de l'iris de l'utilisateur stockée dans une base de données de sa banque. Si les éléments concordent, l'accès au compte de l'utilisateur est autorisé, sans que d'autres formes d'identification soient requises.

* 10 97/489/CE : recommandation de la commission du 30 juillet 1997 concernant les opérations effectuées au moyen d'instruments de paiement électronique, en particulier la relation entre émetteur et titulaire.

* 11 Jean-Pierre Brard - Sécurité juridique - Avis n° 2992 - XIe législature - pages 100 et 101.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page