Tribune ROOMn : Le m-paiement, une plateforme jugée risquée

Avis d’expert de Diane MULLENEX & Guillaume BELLMONT, Avocats à la Cour, Pinsent Masons LLP, et experts ROOMn (« Rendez-vous One-to-One de la Mobilité Numérique », du 2 au 3 avril, Deauville) qui effectuent un focus sur le paiement mobile : quelle situation juridique en Europe ? Et l’actualité est brûlante à ce sujet au Parlement européen.

————————

« En matière de moyens de paiements, l’équation est simple : le consommateur veut un moyen de paiement simple, sécurisé et économique.

Le paiement mobile se pose ainsi comme un vecteur de croissance économique pour les acteurs du marché, qu’il s’agisse de prestataires de services de paiement ou d’opérateurs télécoms. Cependant, si le m-paiement est un moyen de paiement simple et économique, la sécurité reste un sujet sensible. Cette inquiétude a d’ailleurs récemment été exprimée par les représentants des institutions européennes qui ont pointé du doigt les failles du projet de révision de la directive sur les services de paiement (DSP 2), ayant, notamment, pour objectif d’adapter les règles aux différents modes de paiement existants, notamment en matière de sécurité.

Avant de s’intéresser aux apports de ce projet et aux critiques dont il fait l’objet, il convient d’abord de revenir sur la réglementation actuelle.

I Quel est l’état du droit actuel ?

En France, c’est l’ordonnance du 15 juillet 2009, transposant la directive sur les services de paiement (DSP) du 13 novembre 2007, qui détermine le régime juridique du paiement mobile. L’un des objectifs de la DSP était d’encourager la concurrence sur le marché du paiement électronique en permettant à des prestataires, autres que les institutions bancaires, d’entrer sur le marché des paiements avec la création « d’ établissements de paiement ».

Cette directive a créé une règlementation unique s’appliquant à l’ensemble des services de paiements dits de base (réception de fonds du public, virements, etc.) pour une multitude de services et d’opérateurs, sans considération de la plateforme de réalisation du paiement et de contraintes sécuritaires particulières qui devraient s’appliquer.

Parmi ces services de paiement sont visées les opérations de paiement par téléphone ou ordinateur, adressées à l’opérateur quand celui-ci agit uniquement en qualité d’intermédiaire entre le payeur et le fournisseur du bien ou du service. Il en résulte que, le M-paiement peut être l’occasion, pour les opérateurs de télécommunications, d’offrir des services de paiement.

Par conséquent, le m-paiement n’est pas spécifiquement visé par la loi et n’a pas de régime propre. Il intègre un corpus de règles communes à tous les « autres moyens de paiement », qui conformément à l’article L 311-3 du Code monétaire et financier se définissent comme « tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé ».

Aujourd’hui, les opérateurs de télécommunications peuvent donc offrir des services de paiement en procédant de deux façons : soit ils obtiennent l’agrément en tant qu’établissement de paiement, soit ils se contentent de relayer les services d’un opérateur agréé.

Le m-paiement semble s’intégrer et s’adapter au régime existant. Cependant, il opère un réel changement de paradigme, si bien que les problématiques relatives à la sécurité de ce moyen de paiement ne cessent de se bousculer. En effet, le paiement mobile instaure une relation nouvelle entre les e-marchands et leurs clients, qui nécessite de revoir l’ensemble des règles de sécurité et d’authentification.

Les e-commerçants ne peuvent plus se reposer essentiellement sur le contrôle de l’adresse IP pour détecter les transactions mobiles potentiellement frauduleuses, ou sur les systèmes d’authentification mis au point par les groupements de carte bancaire, tels que le 3D Secure. Les mécanismes existants se révèlent de plus en plus inadaptés aux particularités du m-paiement. Dès lors, les e-commerçants doivent s’accommoder des particularités de ce moyen de paiement, tout en prévenant les risques financiers en cas fraudes. A cet effet, pour préserver les intérêts des e-commerçants tout en garantissant la sécurité des consommateurs, l’Union Européenne prépare l’adoption d’un nouveau cadre réglementaire.

II Quels sont les apports du projet de révision de la directive sur les services de paiement ?

Le projet de révision, publié par la Commission européenne le 24 juillet 2013, tend à l’encadrement des nouveaux services de paiement mobile.

La Commission européenne a très vite compris que les paiements ne dépendaient plus d’un compte ouvert dans une banque précise, mais qu’ils pouvaient être effectués par toute une série de moyens. Cependant, avant de se lancer dans une mise à jour complète de la directive DSP, la Commission a d’abord publié, en 2012, un livre vert intitulé « Vers un marché européen intégré des paiements par carte, par internet et par téléphone » visant à promouvoir les bonnes pratiques.

L’objectif central du projet de révision est d’intégrer toutes les méthodes de paiement dans son cadre règlementaire. Au-delà d’une simple règlementation, le projet vise également à lever les obstacles à l’entrée sur le marché pour les nouveaux fournisseurs de services de paiement, tels que les opérateurs de télécommunication afin de soutenir, notamment, la croissance du commerce électronique.

Cependant, comme le précise le projet de directive en son point 71, un tel objectif doit répondre aux préoccupations relatives à la sécurité et à la protection des données à caractère personnel. En effet, la sécurité reste l’une des principales préoccupations du régulateur, si bien que toutes les questions se cristallisent autour de cette problématique.

Ainsi, pour contribuer à une prévention efficace de la fraude, le projet rappelle que tout traitement de données à caractère personnel aux fins de la présente directive doit être effectué conformément aux règles en vigueurs (Loi Informatique et Libertés, Directive 95/46/CE et Règlement (CE) n° 45/2001).
A la recherche d’un juste équilibre face à la nécessité de moyens de paiements efficaces et l’exigence en matière de sécurité.

Les mesures proposées par la Commission européenne visent à créer un environnement réglementaire qui favorise la concurrence et l’innovation tout en garantissant la sécurité des transactions pour les consommateurs. Bien que la sécurité apparaisse comme l’un des enjeux principaux de cette nouvelle règlementation, les critiques ne cessent de fuser à l’encontre du projet de DSP2.

Lors d’une table ronde organisée au Parlement européen, les représentants des institutions européennes ont dénoncé les failles du projet de révision de la directive sur les services de paiement. Selon eux, le niveau de protection du consommateur est insuffisant. L’assistant auprès du Contrôleur européen de la protection des données, Giovanni Botarelli, a ainsi considéré que les éléments nécessaires à la protection des données personnelles des utilisateurs font défaut dans le projet de révision de la directive.

Ce constat avait déjà été dressé par la BCE qui, le 15 novembre 2013, avait lancé une consultation afin d’affiner ses recommandations pour la sécurité des paiements par téléphone mobile. Selon l’institution financière, les mobiles et les systèmes d’exploitation de cette génération n’ont généralement pas été conçus avec la précaution nécessaire pour garantir la sécurité des paiements. De plus, la transmission des données de paiement et des informations personnelles sur les réseaux mobiles comportent davantage de risques que d’autres moyens de paiements.

Pour la BCE, la « solution miracle » reposerait sur la création d’une interface standard unique entre les tiers, les banques et les consommateurs.

III e-commerce, m-paiement, même combat

Le projet de directive fait aujourd’hui l’objet de nombreuses critiques, mais il édicte cependant des mesures garantissant un paiement plus sûr. Parmi les mesures prévues, le projet impose un certain nombre d’obligations aux prestataires de services, telles que :
– Rapporter la preuve que les mesures nécessaires pour garantir la sécurité des paiements ont été prises;
– Fournir aux autorités nationales une évaluation des risques et des mesures prises pour y faire face;
– Mettre en place des mécanismes solides d’authentification des clients pour les transactions sans présentation physique d’une carte (comme les paiements par internet).

Aujourd’hui, la croissance du e-commerce semble freinée par l’ensemble des problématiques entourant le processus de paiements, et notamment du coût des paiements (tant pour le consommateur que pour le commerçant) et de la sécurité des paiements. Malgré les mesures prévues par le projet de directive, la sécurité des paiements et des données personnelles est unanimement jugée insatisfaisante ce qui ne participera pas au développement du e-commerce. Il n’en demeure pas moins que le e-commerce doit évoluer avec le m-paiement et inversement.

Dès lors, espérons que le Parlement européen parvienne à apaiser ces inquiétudes.

Le 9 janvier 2014 marquait la date butoir pour la soumission d’amendements au Parlement européen. Et, le 20 février 2014, le Parlement européen a reçu le rapport final devant être examiné à la commission des affaires économiques et monétaires. Ce sera, enfin, le 2 avril 2014 [c’est à dire aujourd’hui, ndlr] que le Parlement européen votera sur le projet lors de la session plénière de Strasbourg. »

(Credit photo illustration : Shutterstock.com –  Copyright: 3Dstoc)