Failles de sécurité pour les services bancaires en ligne. Que risque le consommateur ?
Publié le 17/02/2015 par Hervé Jacquemin
Depuis quelques jours, les médias se font l’écho des manquements de certaines banques belges pour la sécurité de leurs services en ligne. Les problèmes sont pointés par un bloggeur spécialisé, relayé par le magasine Datanews. Dans ce contexte, il paraît utile de faire le point sur les droits et les obligations des consommateurs (et des banques) en cas d’opérations de paiement non-autorisées.
Les manquements auraient trait au protocole de cryptage SSL qui doit permettre à l’utilisateur des services de paiement d’établir une connexion sécurisée avec sa banque au moment de réaliser une transaction. Sans nous prononcer ici sur l’exactitude de ces insuffisances techniques (et sur leur incidence éventuelle sur la multiplication des fraudes), les droits et les obligations des acteurs en cas d’opération de paiement non-autorisée sont rappelés. On constate en effet que les consommateurs bénéficient d’un cadre normatif très protecteur leur permettant, dans de nombreux cas, d’obtenir le remboursement des sommes volées ou détournées.
La matière est régie par le livre VII du Code de droit économique (CDE), consacré aux services de paiement et de crédit, qui impose diverses obligations (de sécurité notamment) aux parties et organise un partage de responsabilité en cas d’opération de paiement non autorisée.
Des obligations à charge de la banque et de l’utilisateur
Pour assurer un niveau de sécurité élevé, des mesures doivent évidemment être prises par les prestataires de services de paiement. L’utilisateur a également un rôle important à jouer.
A titre préventif, diverses obligations reposent sur l’utilisateur de services de paiement (art. VII.30 du CDE). On vise notamment le consommateur qui utilise les services d’internet banking pour effectuer des paiements. Il est ainsi tenu de prendre les mesures raisonnables pour préserver la sécurité de son instrument de paiement, d’utiliser celui-ci conformément aux conditions établies par sa banque et, en cas de vol, de perte, de détournement ou d’utilisation non autorisée, de le notifier sans délai.
Parallèlement, des obligations incombent également aux prestataires de services de paiement (autrement dit, les banques), spécialement en termes de sécurité. Parmi d’autres, ils doivent ainsi s’assurer que les dispositifs de sécurité personnalisés ne sont pas accessibles aux tiers (cf. art. VII.31 du CDE).
Partage de responsabilité en cas d’opération de paiement non-autorisée
Lorsqu’une opération de paiement non autorisée a été commise, un partage de responsabilité, globalement favorable au consommateur dont l’instrument de paiement aurait été détourné, est mis en place (art. VII.36 du CDE).
Imaginons qu’en consultant son relevé de carte de crédit, un consommateur constate des paiements ou des retraits en espèces qu’il n’a pas réalisés et ce, pour un montant de 1000 EUR. Il veille à contacter CARD STOP et s’adresse ensuite à sa banque pour réclamer le remboursement de la somme.
En principe, il obtiendra le remboursement de la somme détournée, sous déduction d’une « franchise » de 150 EUR. Il devra par contre supporter la perte ou le vol (au-delà du montant de 150 EUR) s’il a agi frauduleusement ou s’il a manqué aux obligations qui lui incombent, intentionnellement ou par négligence grave. Constitue par exemple une négligence grave le fait de noter le code pin de sa carte de crédit sur celle-ci ou sur un post-it collé à l’intérieur de son portefeuille. On note d’ailleurs que la jurisprudence se montre parfois sévère avec les utilisateurs. Dans cette affaire jugée par la Cour d’appel de Bruxelles le 23 juin 2011, deux cartes bancaires (de débit) sont volées dans une chambre d’hôtel en Italie et des opérations de retrait ou de paiement sont réalisées pour un montant de plus de 2500 EUR. Les titulaires des cartes postulent par conséquent l’intervention de leur banque, qui refuse pourtant de les indemniser, estimant qu’ils auraient commis une négligence grave (en laissant les instruments de paiement sans surveillance dans la chambre d’hôtel et en rendant le numéro d’identification personnel ou le code aisément accessible). La Cour d’appel retient les arguments de la Banque et juge que les demandeurs ont commis une négligence grave « en laissant leurs cartes bancaires sans surveillance dans une chambre d’hôtel, qui est un lieu accessible à diverses personnes, dans les circonstances décrites ci-avant ».
Sauf cas de fraude ou de manquement intentionnel (la négligence grave n’est pas mentionnée), le payeur ne supporte par contre aucune perte (le plafond de 150 EUR est ainsi réduit à 0) dans deux hypothèses.
- Tel est d’abord le cas si l’instrument de paiement a été utilisé sans présentation physique et sans identification électronique. On vise clairement l’hypothèse d’un paiement exécuté en ligne (où le payeur se contente de donner son numéro de carte de crédit, accompagné de la date d’expiration et du code de vérification, par exemple sur un site de commerce électronique). Pour considérer qu’il y a « identification électronique », l’utilisation d’un simple code secret est insuffisante. Par contre, le recours à un mécanisme de signature électronique peut être vu comme un système d’identification électronique (et sur ce thème, on aura égard au récent règlement (UE) n° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance). On sait qu’en pratique, les banques proposent des lecteurs de carte ou des Digipass qui génèrent un code chiffré unique pour accéder au service en ligne et effectuer des transactions.
- Dans la seconde hypothèse, le payeur ne supporte aucune perte si « l’instrument de paiement a été copié par un tiers ou a été indûment utilisé pour autant que le payeur était, au moment de l’opération contestée, en possession de l’instrument de paiement ». Sont ainsi visés les cas de contrefaçons ou de hacking.
En définitive, rappelons que la sécurité est l’affaire de tous. Les mesures prises par les acteurs semblent porter leurs fruits puisque Febelfin a annoncé récemment une baisse significative des cas de fraudes en ligne entre 2013 et 2014 (https://www.febelfin.be/fr/net-recul-des-cas-de-fraude-a-la-banque-en-ligne). Aussi faut-il espérer que les applications d’internet banking et de mobile banking continuent à se développer, et que les consommateurs n’hésitent pas à acheter et payer en ligne, par crainte des fraudes éventuelles. Le risque zéro ne peut évidemment pas être garanti mais, outre les mesures techniques qui sont prises, il bénéficie d’un régime juridique favorable qui limite leur responsabilité et font finalement repose les risques sur les banques (et, au-delà, sur les commerçants).