Le paiement constitue l’obligation essentielle de l’acquéreur d’un bien ou d’un service sur Internet. Depuis peu, les consommateurs, aussi bien les cybermarchands, accordent une plus grande confiance aux paiements effectués en ligne. Les efforts conjugués des banques (mise en place de la règle de « 3D Secure » par exemple) mais aussi de certains prestataires de services spécialisés dans les paiements en ligne (comme Stripe ou PayPal), sont finalement parvenus à instaurer un certain climat de confiance dans le paiement en ligne. Reste toutefois que les cas de fraudes continuent de nourrir la crainte des consommateurs et des cybermarchands dans l’utilisation de la carte de paiement pour les transactions en ligne.
La fraude à la carte bleue dans le cadre du commerce en ligne est une réalité et les tribunaux connaissent de plus en plus de cas à proportion de la plus grande utilisation de ce moyen de paiement dans les transactions en ligne. Le journal Le Monde titrait un de ses articles « deux arnaques à la minute pour les achats par carte bancaire sur Internet » (édition du 17 février 2012).
L’association UFC-Que Choisir rappelle, dans une enquête du 16 février 2012, que depuis 2007 le taux de fraude à la carte bancaire dans le e-commerce a progressé de +17,5%. Cette association chiffre le coût de ces fraudes à 370 millions d’euros en 2010. Avant d’en venir à la possibilité pour un commerçant victime d’une fraude à la carte bleue de se faire rembourser, il faut signaler les pratiques de fraude à la carte bleue.
Les méthodes de fraude à la carte bleue
Lorsqu’un consommateur effectue un achat en ligne, le cybermarchand lui propose d’entrer les références de sa carte bancaire afin de finaliser l’opération. Il suffit alors au client d’indiquer les 16 chiffres « embossés » sur sa carte, de renseigner la date de validité de celle-ci, et pour plus de sécurité d’entrer les 3 chiffres correspondant au cryptogramme. Or, rien ne garantit au cybermarchand que le client actuel qui effectue la commande soit le véritable titulaire de la carte de paiement. Il suffit donc à quiconque d’être en possession de ces données figurant sur la carte pour passer une commande sur le site, la possession physique de la carte n’étant même pas nécessaire.
Pour se procurer des numéros de carte bleue, les fraudeurs peuvent par exemple forcer les systèmes de sécurité informatique d’un cybermarchand afin de capturer les données de ces cartes. Le phishing (hameçonnage) est également utilisé pour récolter frauduleusement les données de cartes bancaires : une personne sollicite par envoie d’un message électronique les données bancaires, en se déclarant être une banque ou un organisme social. Enfin, la fabrication de cartes bancaires comportant des numéros fictifs peuvent servir de moyens de paiement chez les cybermarchands, même si les techniques informatiques de sécurisation permettent aujourd’hui de limiter ce type de fraude (pratique du moulinage). Le commerçant peut ainsi être facilement victime d’une fraude à la carte bleue, d’où la question de savoir s’il peut agir en remboursement. D’autant plus que UFC-Que Choisir nous rappelle que « le coût de la fraude n’est pas seulement supporté par les banques, mais aussi par les commerçants » (Le Monde du 17 février 2012).
Le remboursement de l’e-commerçant victime d’une fraude à la carte bleue
Le consentement : condition essentielle à l'opération de paiement
Une transaction commerciale en ligne engage 3 intervenants : le consommateur, le cybermarchand et une banque. Lorsque le consommateur effectue son paiement en ligne, le cybermarchand transmet à la banque l’ordre de prélèvement. Si par la suite, le consommateur conteste la transaction en faisant valoir qu’il n’est pas l’origine de l’ordre de paiement et cela pour différentes raisons (perte, vol, etc..), sa banque est en principe tenue de lui rembourser les sommes prélevées indûment (contre-passation d’écritures sur son compte bancaire).
Cette protection dont bénéficie le consommateur est issue de l’article 133-6 du Code monétaire et financier selon lequel une opération de paiement n’est autorisée que si le payeur (le consommateur) a donné son consentement à son exécution. Ce texte est le résultat de l’ordonnance du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement (transposition de la directive CE 13 novembre 2007 concernant les services de paiement dans le marché intérieur). Le principe posé par cette législation est qu’il revient à la banque de supporter les risques de la demande de paiement qui n’émane pas du client. En pratique, cela revient à dire que le cybermarchand qui est victime d’une fraude à la carte bleue n’aura pas à en supporter les conséquences financières puisque ces textes établissent clairement que c’est à la banque d’authentifier l’utilisateur de la carte bancaire.
La jurisprudence considère de ce point de vue qu’en présence d’un paiement intervenu à distance sans utilisation physique de la carte, ni saisie du code confidentiel, la contestation de ce débit par le titulaire du compte oblige la banque à la restitution des sommes débitées (Chambre commerciale de la Cour de cassation, 23 juin 2004 n°02-15.547, Dalloz 2005, Actualités juridiques 1972). Dans ce cas de figure le cybermarchand conservera donc les sommes qu’il a déjà prélevées sur le compte du client.
Responsabilité de la banque ou de l'e-commerçant ?
La banque du client pourra toujours se retourner contre l’e-commerçant qui a reçu et ensuite lui a transmis l’ordre de paiement frauduleux. La banque pourra notamment invoquer qu’il appartenait au cybermarchand d’authentifier et de garantir l’ordre de paiement. Mais il semble que cet argument ne serait recevable que si un procédé « 3D Secure » avait été mis en place. Ce système permet à la banque du cybermarchand et à celle du client d’identifier le porteur de la carte lors de la télétransmission du paiement. Ainsi supportera les risques de la fraude celui dont le système permettant de déceler la fraude n’aura pas été efficace.
Le consommateur est ainsi largement protégé par les dispositions du Code monétaire et financier lorsqu’il est victime d’une utilisation frauduleuse de sa carte bancaire (voir l’article L133-18 du Code monétaire et financier qui impose à la banque le remboursement immédiat du montant de l’opération non autorisée). En riposte, la banque cherche à obtenir de ses clients cybermarchands la souscription de contrats de vente à distance dans lesquels sont énumérées toutes les obligations auxquelles s’engage la banque en cas de réclamation du consommateur qui a été frauduleusement débité sur son compte.
Ainsi les clauses par lesquelles une banque met à la charge du cybermarchand les risques de fraude n’ont pas été considérées comme potestatives ni abusives par les tribunaux. Notamment, la clause par laquelle la banque débite le compte du commerçant du montant du paiement qui était contesté par le client titulaire de la carte, a été jugée comme valable (Cour d’appel de Pau 8 janvier 2007, 2eme Chambre, 1ère section).
Il y a urgence selon certains acteurs du e-commerce à trouver une solution pérenne car d’ici 2020 le coût de la fraude atteindra selon « des prévisions basées sur l’évolution du e-commerce », 850 millions d’euros. D’où la proposition faite par le président de l’UFC-Que Choisir « d’harmoniser les dispositifs de code à usage unique » qui restent encore très différents d’une banque à l’autre.