EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 M-PAYMENT et CONTACT LESS : QUELS ENJEUX JURIDIQUES ? Cathie-Rosalie JOLY Avocat au barreau de Paris - Docteur en droit
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Quels sont les défis juridiques pour permettre le développement du m-paiement et du paiement sans contact ? Labsence dharmonisation : frein au développement ? Perspectives européennes pour les opérateurs de paiement via mobiles ? Quels sont les risques juridiques liés au développement du paiement sans contact ? Utilisation frauduleuse du mobile, qui supporte les risques ? Quels risques pour les données ? (loi informatique et libertés) M-Payment & Contact Less Quels enjeux juridiques?
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Quels sont les défis juridiques pour permettre le développement du m-paiement & du paiement sans contact ? Labsence dharmonisation : frein au développement ? Perspectives européennes pour les opérateurs de paiement via mobile ?
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Qui peut émettre ou gérer des moyens de paiement pour mobile? Moyen de paiement: concerne tous les instruments qui, quel que soit leur support ou le procédé technique utilisé, permettent à toute personne de transférer des fonds. Selon le droit européen harmonisé : Établissement de crédit : « une entreprise dont l'activité consiste à recevoir du public des dépôts ou d'autres fonds remboursables et à octroyer des crédits pour son propre compte ». Passeport européen OK Établissement de monnaie électronique : « une entreprise ou toute autre personne morale, autre qu'un établissement de crédit (…), qui émet des moyens de paiement sous la forme de monnaie électronique » Passeport européen OK e-monnaie Établissement financier : « une entreprise, autre qu'un établissement de crédit, dont l'activité principale consiste à prendre des participations ou à exercer une ou plusieurs activités parmi lesquelles figurent : (…) Opérations de paiement ;Emission et gestion de moyen de paiement. Passeport européen sous conditions: Filiale Etablt Crédit. Labsence dharmonisation : frein au développement ?
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Selon le droit français : Établissement de crédit : « Les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque ». PB : Constituent des « opérations de banque » (L CMF) : La réception de fonds du public Les opérations de crédit La mise à la disposition de la clientèle ou la gestion de moyens de paiement Établissement de monnaie électronique Entreprise exemptée dagrément par le CECEI (L CMF) : lorsque les moyens de paiement ne sont acceptés que : - par un nombre limité dentreprises ; - qui se distinguent clairement par le fait quelles se trouvent dans les mêmes locaux ou dans une zone géographique restreinte ; - ou par leur étroite relation financière ou commerciale avec létablissement émetteur, notamment sous la forme dun dispositif de commercialisation ou de distribution commun.
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 En pratique quels choix pour les opérateurs de paiement pour mobiles ? Etablir des partenariats avec les banques Cadre juridique financièrement et organisationnellement trop contraignant pour les entreprises françaises qui disposent pourtant dun savoir-faire Les opérateurs étrangers qui exercent cette activité librement dans leur pays dorigine se plaignent des difficultés rencontrées pour percer le marché français Subir le droit bancaire français Essayer de bénéficier dune exemption dagrément : Carte prépayée ou «porte- monnaie électronique » utilisés pour obtenir du temps de communication auprès de lopérateur qui les a émis. Obtenir le statut détablissement de monnaie électronique : Carte prépayée utilisée pour acheter des produits et services autres que des communications classiques, proposés par des tiers («négociants») et non par les opérateurs de téléphonie mobile eux-mêmes. (exemple : messageries vocales, sonneries, informations, films vidéo, jeux, services de billetterie…)
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Pratiquer lexode légal à létranger Invoquer les traités fondateurs contre les règles nationales Principes européens : liberté détablissement : Mener une activité économique de manière stable et continue dans un ou plusieurs Etats membres. libre prestation de services : Offrir ses services de manière temporaire dans un autre Etat membre, sans devoir y être établi. Moyen dopposition contre les règles nationales : discriminatoires ou indistinctement applicables aux opérateurs nationaux et étrangers A condition quelles gênent ou rendent moins attrayant lexercice de cette liberté fondamentale (ex. coûts ou retards supplémentaires). Mise en oeuvre La législation nationale lemporte si les restrictions sont justifiées : Par des raisons impérieuses dintérêt général, (ex : raisons dordre public, de sécurité publique ou de santé publique, Et si elles sont proportionnées Opter pour la libre prestation de services à partir de pays plus favorables
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Présentation générale du SEPA (Single Euro Payment Area) Coordination entre le secteur Privé et le secteur Public La proposition de Directive concernant les services de paiement dans le marché intérieur (publiée en décembre 2005, adoptée le 24 Avril 2007 en deuxième lecture au Parlement européen) Création du statut détablissement de paiement 6 Catégories de prestataires de services de paiement (art.1) Les établissements de crédit Les établissements de monnaie électronique (…) Les établissements de paiement : personnes morales qui ont obtenu un agrément les autorisant à fournir et à exécuter des services de paiement dans toute la Communauté Va permettre à des opérateurs alternatifs de proposer des paiements via téléphone mobile (opérateurs de téléphonie mobile, grande distribution, etc…) ce qui va compléter loffre du marché voir concurrencer les banques Perspectives européennes pour les opérateurs de paiement pour mobiles ?
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Agrément en qualité détablissement de paiement Est subordonné à la soumission, aux autorités compétentes de lÉtat membre dorigine, dune demande écrite accompagnée de divers documents… Obligations relatives aux fonds reçus : Interdiction de les utiliser pour dautres activités commerciales obligation de maintenir les fonds reçus de leurs activités sur des Comptes séparés Capital minimum exigé varie en fonction des activités exercées (art.5ter): (remise de fonds) à euros (émission, services retrait/dépôt despèces sur un compte de paiement, crédit…) Limitation des activités des établissements de paiement : services de paiement, services opérationnels services auxiliaires aux services de paiement (services de change, services de conservation, de stockage et de traitement de données…) octroi de crédits liés aux services de paiement (maxi douze mois).
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Dispositions dérogatoires Exonération possible des petits établissements de paiement : volume total des opérations de paiement exécutées ne dépassant pas en moyenne 3 millions deuros par mois au cours des douze mois précédents. Exemption possible des instruments utilisés principalement pour le paiement de petits montants: - opérations de paiement particulières n'excédant pas 30 euros - ou qui, soit ont un plafond de dépenses de 150 euros, soit stockent des fonds dont le montant n'excède à aucun moment 150 euros Mise en place dun régime transitoire (art.80) : Les États membres autorisent les personnes, y compris les établissements financiers au sens de la directive 2000/12/CE, qui ont commencé à exercer lactivité détablissement de paiement telle que prévue dans la présente directive, conformément à la législation nationale en vigueur avant la date dentrée en vigueur de la directive, à poursuivre cette activité dans lÉtat membre concerné pendant 18 mois au maximum. Obligation des Etats membres de ne pas adopter, pendant la période transitoire, des dispositions susceptibles de compromettre sérieusement le résultat prescrit par la directive (Arrêt CJCE du 14 Septembre C-138/05, Rec. p. I-8339-cf. point 48, disp.2)
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Quels sont les risques juridiques liés au développement du paiement sans contact ? Utilisation frauduleuse du mobile, qui supporte les risques ? Quels risques pour les données ? (loi informatique et libertés)
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 La preuve du consentement de lutilisateur ? Le client présente sa carte ou son mobile devant le lecteur et une animation lumineuse/signal Sonore atteste de la reconnaissance du support. Selon le montant, il peut être invité à saisir un code. Si lutilisateur saisit un code secret = identification du porteur Si lutilisateur ne saisit pas de code = Pb : Seul le support est identifié Les dispositions de la DSP concernant le consentement de lutilisateur Donné avant ou après lexécution du paiement, pour une opération ou une série. Forme du consentement et de la notification choisie par accord entre les parties. Il peut notamment être transmis au moyen de tout dispositif de télécommunication, numérique ou informatique. Lutilisateur doit signaler dans les meilleurs délais toute opération non autorisée ou mal exécutée, et au plus tard dans les treize mois suivant la date de débit (art. 47 bis) Utilisation frauduleuse du mobile, qui supporte les risques ?
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Les dispositions de la DSP en matière de preuve (art.48) Si le Payeur nie avoir autorisé une opération, le PSP doit prouver que lopération a été authentifiée, enregistrée, comptabilisée et na pas été affectée par une déficience technique ou tout autre dysfonctionnement => inversion de la charge de la preuve L'utilisation d'un instrument de paiement, telle qu'enregistrée par le prestataire de services de paiement, ne suffit pas nécessairement en tant que telle à prouver que l'opération de paiement a été autorisée par le donneur d'ordre ou que celui-ci a agi frauduleusement ou n'a pas satisfait, intentionnellement ou à la suite d'une négligence grave Conséquences sur le partage des risques ? Recommandation européenne 97/489 Vol ou perte de linstrument de paiement : 150 avant opposition complet remboursement après opposition Exception : négligence extrêmement frauduleuse Absence de responsabilité du porteur si : Pas de présentation physique de linstrument de paiement ou Pas didentification électronique
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Partage de responsabilités selon le projet la directive services de paiement Pertes liées à lutilisation dun instrument de vérification des paiements perdu/volé Avant notification par le Payé : plafond de 150 à la charge de lutilisateur (voire moins selon lEtat membre) sauf fraude ou négligence grave de lutilisateur Après notification par le Payé : à la charge du PSP sauf agissement frauduleux Si le PSP ne fournit pas à tout moment des moyens de notifier la perte/vol ou le détournement, cest le PSP qui est responsable Pertes liées à une Opération de paiement non autorisée PSP rembourse immédiatement le montant éventuellement indemnisation financière
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 Les Systèmes de paiement sans contact présentent des risques potentiels datteinte à la vie privée par la collecte dinformations sur les individus, à leur insu. Nature de lopération et des données transmises La transmission dinformations financières ou didentification lors de la transaction représente « un traitement de données à caractère personnel » Selon la CNIL, les Puces RFID sont des identifiants personnels et donc rentrent dans la définition de données à caractère personnel (Avis CNIL- 30 juin 2006) Application de la loi informatique et libertés Formalités déclaratives auprès de la CNIL Obligation dinformation des personnes concernées par le traitement, respect de leur droit daccès, de rectification et dopposition Obligations de sécurité et de confidentialité (atteinte au STAD) Respect de la finalité du traitement et durée de conservation : Le paiement Quels risques pour les données ?
EBG – Le contact Less et les nouveaux services en mobilité Université Paris Dauphine le 29 mai 2007 & Q uestions R éponses Cathie-Rosalie JOLY - Avocat au barreau de Paris et Docteur en droit Cabinet ULYS (Paris-Bruxelles), Pour en savoir plus : Larcier 2007 Me WERY Etienne