Mise en scène des nouveaux moyens de paiement sur Internet

Lionel Thoumyre, directeur de Juriscom.net

lionel@juriscom.net

Attention : en raison de l'évolution rapide des nouveaux moyens de paiement, nous invitons les lecteurs à actualiser les informations délivrées au sein de ce dossier en se référant aux sites des sociétés mentionnées.

Introduction
Cybercommerce
Acquérir la confiance

I. Les impératifs du télépaiement
L'internationalisation des échanges
L'environnement informatique
La protection des intérêts des acteurs
    1. Sécurité
    2. Anonymat
    3. Confort d'utilisation
  Le développement des services télématiques

II. Les nouveaux moyens de paiement sur Internet
A. L'adaptation des moyens de paiement usuels
    1. Les moyens permettant l'utilisation d'une carte de crédit
        a. CyberCash
        b. First virtual
        c. Kleline
        d. Le protocole SET
     2. Les chèques électroniques
        a. Le projet FSTC
        b. NetChex
B. Porte-monnaie électronique et porte-monnaie virtuel
    1. Le porte-monnaie électronique
    2. Le porte-monnaie virtuel

Conclusion
Bibliographie

Introduction

Cybercommerce

De manière générale la notion de commerce électronique s’applique " à tout échange de données par l’intermédiaire d’un réseau de télécommunication à des fins commerciales. " (1)

Le chiffre d’affaire mondial du commerce électronique atteindrait les 350 milliards de dollars en 2002, contre 7 milliards en 1998 (2). Une telle augmentation serait-elle liée à celle du nombre de connectés à l’Internet qui, si l’on en croit les rapports de statistiques du Matrix Information Directory Services, devrait passer de 57 millions en 1997 à 337 millions à la fin du millénaire (3) ?

C’est peu probable, car les services de vente sur Internet se heurtent encore à de nombreuses difficultés. La plupart d’entre eux ne génèrent que trop peu de bénéfices pour rentabiliser leurs investissements. Aux Etats-Unis, moins d’un tiers des sites commerciaux déclarent obtenir un résultat satisfaisant (4). La situation française est bien pire : les entreprises présentes sur l’Internet ne proposent que très rarement des services de transaction en ligne. Le Minitel conserve toujours la plus grosse part du gâteau. Les entreprises clientes du réseau télématique de France Télécom ont généré 2,6 milliards de francs de chiffre d’affaire en 1997 (soit plus de 500 millions de dollars) (5) ! Il convient de préciser que le Minitel a su offrir des systèmes de paiement simples et sécurisés (au travers de la facture téléphonique) ayant gagné la confiance de milliers de professionnels et de consommateurs. Dès lors, il est peut-être devenu bien difficile pour les entreprises de l’hexagone d’échapper au carcan du Minitel.

Acquérir la confiance

Justement, le manque de confiance dans la sécurité des transactions électroniques est sans doute la cause principale des difficultés rencontrées par les entreprises investies dans la vente en ligne. Encore largement utilisé, le paiement au moyen du numéro de série de la carte de crédit inquiète les consommateurs pour trois raisons majeures liées :

1. au risque de piratage,
2. à l’impossibilité de s’assurer de l’identité des parties,
3. au doute subsistant quant à la contestation d’un ordre de virement.

Ainsi, aux côtés des moyens de paiement classiques, il s’agit de proposer aux professionnels, comme aux consommateurs, de nouveaux procédés (II) répondant à des impératifs précis (I).

I. Les impératifs du télépaiement

Nous identifierons les principaux objectifs que doivent remplire les moyens de paiement en ligne au regard des facteurs suivants (6) :

L’internationalisation des échanges

Le premier impératif lié à l’internationalisation des échanges découle d’une évidence incontournable. Une prestation proposée à partir d’un site géré sur le continent américain doit pouvoir accepter une demande européenne à toute heure du jour ou de la nuit. La mise en place d’un traitement automatique des modes de paiement sur un seul et même réseau répondra ainsi aux exigences de rapidité et de fluidité du commerce électronique. Dès lors, la pratique consistant en l’envoie d’un numéro de carte de crédit par fax est à proscrire.

En outre, les systèmes de télépaiement devront prévoir l’utilisation d’une pluralité de devises. Néanmoins, le problème ne se posera que pour les porte-monnaie électroniques. La création d’unités de paiement spécifiques, permettant de procéder à des échanges de valeurs sans dépendre d’une devise particulière, semble être une alternative satisfaisante (voir infra).

L’environnement informatique

L’environnement informatique implique la mise en place d’un système compatible avec l’ensemble des plates-formes d’opération des commerçants.

Mais les principales difficultés s’identifient au regard de l’accident technique. La panne ou la détérioration d’un support informatique entraîne avec elle la perte des unités de paiements. Le risque existe tant pour les particuliers que pour les commerçants. Néanmoins, dès lors que les unités de paiement auront été individuellement identifiées par l’émetteur ou le gestionnaire de fond, il serait possible d’envisager une déclaration de perte, entraînant l’annulation des unités non utilisées et leur remplacement consécutif. Malheureusement, en voulant privilégier l’anonymat des utilisateurs, certains systèmes ne permettront ni le remplacement ni le remboursement des unités de paiement. Quand bien même l’identification serait envisageable, le pire des scénarios serait alors que l’accident technique survienne dans les systèmes de l’émetteur.

La protection des intérêts des acteurs

1. Sécurité

Pour éviter les risques de fraude liés aux modes de paiement par transfert de fond, les nouveaux procédés devront promouvoir l’échange sécurisé des transactions électroniques. Le recours à la signature électronique et à la certification par le biais des techniques de cryptographie permettra notamment :

1.- au vendeur : de vérifier la qualité de l’utilisateur en tant que propriétaire du compte à débiter,

2.- au client : d’une part, d’identifier le vendeur et, d’autre part, d’être assuré que ses identifiants bancaires ne peuvent être utilisés par une tierce personne.

3.- à l’ensemble des acteurs : de garantir l’intégrité des données transmises.

Notons également que les règles bancaires soumettent généralement la validité de l’autorisation d’un prélèvement d’argent à la signature du titulaire du compte. Le recours au système de signature électronique pourrait satisfaire à cet impératif juridique (7).

2. Anonymat

Pour des raisons de discrétion, les consommateurs ne désirent pas qu’un organisme ou qu’un commerçant puisse accéder à leur identité ou retracer l’ensemble de leurs paiements. Il s’agira de faire en sorte que les transactions effectuées au moyen d’unité de paiement électroniques répondent aux caractéristiques de la monnaie fiduciaire, dont l’utilisation demeure anonyme.

3. Confort d’utilisation

Nous ne pouvons omettre de mentionner cet impératif tant il est vrai que le succès de tel ou tel système dépendra du confort d’utilisation offert. Le mode de paiement envisagé ne doit ni relever d’une trop grande complexité pour les acteurs, ni entraîner des frais de mise en place dissuasifs. Les systèmes se rapprochant des modes de paiements usuels auront peut-être plus de chance de s’imposer sur le marché.

Le développement des services télématiques

La simplicité d’accès aux services télématiques payants, ainsi que leur survivance, exige un mode de rémunération engageant de petites unités de paiement. Ainsi doit-on favoriser l’émergence des systèmes permettant de dépenser de faibles sommes d’argent pour le règlement ponctuel des services d’accès à l’information en ligne.

Pour le cas particulier de la France, l’enjeu consiste à offrir une alternative attractive au kiosque Minitel, adapté dès l’origine au paiement de services en ligne. Dans ce cadre, France Télécom assume le recouvrement du prix de la prestation en le faisant figurer sur la facture de téléphone de l’abonné. L’opérateur redistribue ensuite ce qui revient à chacun des exploitants télématiques.

L’Internet n’étant soumis à aucune autorité centralisée, ce système n’a pas lieu d’être sur le réseau des réseaux.

Nous analyserons maintenant les principaux systèmes de télépaiement proposés sur le marché à la lumière des impératifs décrits ci-dessus (8).

II. Les nouveaux moyens de paiement sur l’Internet

La monnaie électronique s’entend des " diverses techniques qui assurent l’informatisation des moyens de paiement et les détachent ainsi du support papier " (9). La plupart des moyens de paiement proposés se conforment à cette définition. Nous les distinguerons selon qu’ils consistent en l’adaptation d’un moyen de paiement usuel (carte de crédit, chèque), ou qu’ils résident dans le stockage d’unités de valeur (porte-monnaie électronique ou porte-monnaie virtuel). Désormais classiques, nous n'aborderons pas ici les méthodes SSL permettant de manière générale la sécurisation des données transactionnelles.

A. L’adaptation des moyens de paiement usuels

L'adaptation des moyens usuels implique l’intervention d’un intermédiaire assurant les procédures de paiements entre l’ensemble des acteurs du commerce électronique. Nous remarquerons que cet intermédiaire proposera toujours de répondre à l’impératif de sécurité décrit ci-dessus.

1. Les moyens permettant l’utilisation d’une carte de crédit

a. CyberCash

Le système proposé par CyberCash permet de remplir l’impératif de sécurité en ayant recours au procédé de la signature électronique. Le parcours est le suivant : afin de s’acquitter de son obligation de paiement, le client doit inscrire son numéro de carte de crédit et apposer sa signature électronique, composée à l’aide d’un logiciel fourni par CyberCash, sur la facture du commerçant. Celle-ci sera alors retournée au commerçant, qui y ajoutera les mentions relatives à l’opération de vente ainsi que sa propre signature. A son tour, le commerçant la transmettra au serveur de CyberCash. Après s’être assuré que les parties se sont bien entendues sur les mêmes prestations, CyberCash envoie l’ensemble des informations à une banque qui n’aura plus qu’à effectuer le transfert de fond. Un relevé de l’opération sera ensuite transmis à CyberCash qui redistribuera un reçu à l’attention des cocontractants.

Ce système répond à l’impératif de sécurité. Il requiert néanmoins l’acquisition d’un logiciel spécifique.

b. First virtual

L’utilisation du système proposé par First Virtual nécessite l’enregistrement préalable du client et du commerçant auprès de ses services. Le client doit communiquer les coordonnées de sa carte de crédit par téléphone. Il reçoit alors un numéro d’identification personnel par courriel qu’il communiquera au commerçant affilié pour effectuer ses achats. Le commerçant devra alors transmettre à First Virtual les mentions relatives à l’opération de vente, le NIP du client ainsi que son propre NIP. Contrairement à CyberCash, First Virtual fera participer le client en lui demandant confirmation de l’opération par courriel. La confirmation étant effectuée, First Virtual envoie les informations sur les réseaux bancaires traditionnels, au travers desquels le transfert de fond s’effectuera du compte du client vers celui de First Virtual. First Virtual n’a plus qu’à payer le commerçant et à l’avertir du succès de l’opération pour que ce dernier puisse exécuter son obligation.

Un tel procédé figure parmi les plus simples car il n’utilise aucun logiciel spécifique, ni aucune technologie de cryptage. Il améliore également le système de la carte de crédit en permettant le règlement de petites sommes d’argent. En effet, First Virtual assure une avance financière jusqu’à concurrence de 10$ avant de se faire payer par la banque du consommateur. Enfin, ce système empêche toute divulgation du numéro de la carte de crédit du client.

Néanmoins, First Virtual ne répond pas aux impératifs liés à l’internationalisation des échanges, puisqu’il nécessite l’affiliation à une banque américaine. L’impératif de l’anonymat ne sera pas non plus satisfait dès lors que First Virtual tient à jour une base de données détaillées retraçant l’ensemble des transactions effectuées.

C’est certainement pour l’ensemble de ces raisons que le système vient de fermer ses protes… C’est donc un exemple à ne pas suivre.

c. Kleline

Ici, le client doit à nouveau s’enregistrer auprès d’un intermédiaire, Kleline, qui lui fournit un numéro d’identification en échange de ses coordonnées bancaires. Il lui faudra également posséder un logiciel, appelé " Kleboxe ", permettant de sécuriser les transactions par des procédés cryptographiques. Le schéma est le suivant : le client envoie sa commande au commerçant qui envoie alors un ticket de paiement électronique à Kleline. La société authentifie le marchand et transmet le ticket au client. Dès que le client aura accepté le ticket, Kleline validera la transaction et émettra un bon de caisse auprès du commerçant.

Du côté des commerçants, ce système ne respectait ni l’impératif lié à l’internationalisation des échanges, ni l’impératif de simplicité. En effet, il n’était ouvert qu’aux seuls commerçants français, et nécessitait la mise en place d’un réseau EDI entre l’affilié et la société Kleline. Tel quel, le système n'aurait pas pu s’imposer comme standard international.

Le procédé présentait toutefois l’avantage de rester ouvert aux consommateurs étrangers, la Kleboxe permettant d'effectuer des achats en plusieurs devises.

Depuis, la société Kleline a amélioré la qualité et la souplesse de ses services. Elle offre désormais ses produits aux commerçants étrangers. En outre, la mise en place d'un réseau EDI est devenue facultative. Dans une interview effectuée pour Juriscom.net, Karlos Martins de Kleline SA tient à préciser que la méthode de l'EDI  "n'est pas nécessaire mais conseillée par Kleline". Il ajoute qu' "elle simplifie beaucoup les échanges entre le commerçant et Kleline, mais il est vrai qu'il faut être équipé d'un traducteur EDI, ce qui n'est pas toujours le cas. Kleline utilise alors l'envoi, papier ou disquette, d'un document contenant les données comptables."

Pour toute information complémentaire sur l'évolution et l'utilisation de ce service, nous recommandons aux lecteurs de se renseigner directement auprès de la  société Kleline.

d. Le potocole SET

Le protocole SET (Secure Electronic Transaction Protocol) combine les caractéristiques des protocoles STT (Secure Transaction Technology) et SEPP (Secure Electronic Payment Protocol) élaborés par des firmes renommées : Visa, MasterCard, Microsoft et Netscape pour ne citer qu’eux. Parfaitement lié à l’utilisation de la carte de crédit sur le réseau, ce système se propose de répondre à l’ensemble des impératifs de sécurité. Par la mise en œuvre d’une technologie de cryptographie à clés symétriques et asymétriques, il garantit la confidentialité et l’intégrité des informations relatives au paiement sur l’Internet. Le recours au système de signatures électroniques doublé d’une procédure de certification permet d’assurer, d’une part que l’utilisateur de la carte et le titulaire légitime sont bien la même personne et d’autre part, que le commerçant est bien enregistré auprès des organismes de carte de crédit (10). En définitive, le protocole SET prétend initier un système de compatibilité uniforme sur le réseau pour s’instaurer comme standard de télépaiement. Nous remarquerons au passage que le protocole a déjà été adopté par la société CyberCash pour l’acheminement de l’ensemble des données échangées entre les différents acteurs en présence (11). Le protocole doit également être intégré au sein des logiciels conçus par Microsoft et Netscape. Enfin, le protocole SET sert de base à l’architecture d’un nouveau système de télépaiement " C-SET ", notamment adopté en France par le groupement Carte Bancaire. Les procédures d’identification, d’authentification, d’intégrité et d’archivage s’effectueront au niveau de la puce électronique que comporte les cartes bancaires françaises. Aucune information confidentielle ne transite par le réseau. Mais un tel système requiert l’achat d’un " lecteur de carte " destiné à accomplir l’ensemble de ces procédures hors réseau. Reste à savoir si les consommateurs l’accueilleront favorablement.

 

2. Les chèques électroniques

a. Le projet Financial Services Technology Consortium (FSTC)

Elaboré sur la base d’un outil financier largement diffusé et reconnu, le chèque FSTC s’apparente parfaitement à son homologue papier. Le client disposera ainsi d’un livret de chèques électroniques. Les chèques FSTC pourront être délivrés au travers d’un site web ou attachés au courrier électronique. La signature manuelle sera remplacée par la signature électronique, que beaucoup considèrent comme étant plus fiable. L’impératif de sécurité serait ainsi satisfait. Facile d’utilisation, ce système devrait rencontrer un certain succès.

b. NetChex

De son côté, le système NetChex fait intervenir un intermédiaire auprès duquel l’utilisateur et le commerçant devront s’enregistrer. NetChex permet au client de générer ses propres chèques sur son ordinateur personnel. Avant toute transaction sur Internet, le système de sécurité de NetChex remplace les informations confidentielles du compte du client par un compte factice (shadow account) permettant l’identification du consommateur en amont. Le chèque électronique est ensuite transmis par Internet au système NetChex qui vérifie l'authenticité du chèque électronique à travers sa base de données des membres. A ce stade, le compte factice est remplacé par les informations véritables concernant le compte du consommateur et du marchand. La transaction est ensuite transférée, par réseau privé, au système bancaire. Les règles bancaires traditionnelles seront appliquées pour effectuer le transfert de fonds comme s’il s'agissait d'un chèque de papier. En fin de course, le consommateur reçoit une confirmation de transaction par courrier électronique comportant le numéro du chèque et le montant de la transaction (12).

Alors que le projet FSTC s’apparente plus à une transposition sur Internet du moyen de paiement par chèques traditionnels, NetChex propose une véritable adaptation du chèque au réseau.

 

B. Porte-monnaie électronique et porte-monnaie virtuel

Ces modes de paiement relèvent d’une philosophie différente. Ils envisagent la mise à disposition d’une somme d’argent prépayée sur une carte à puce ou sur le disque dur des acteurs. En permettant la dépense de faibles montants, ils répondront toujours à l’impératif lié au développement des services télématiques.

1. Le porte-monnaie électronique

Le porte-monnaie électronique consiste en une carte de paiement prépayée, c’est à dire sur laquelle une certaine somme d’argent a été chargée, permettant le règlement d’une multitude de services. Une réserve financière sera donc " stockée " sur le microprocesseur de la carte. Rappelons qu’un programme européen est consacré à la recherche sur le porte-monnaie électronique. Il s’agit du programme CAFE (Conditional Access For Europe), ayant élaboré un projet de porte-monnaie permettant d’assurer l’anonymat des opérations, les transactions transfrontières, ainsi qu’une protection en cas de perte ou de vol.

De son côté, la société Mondex prétend fournir l’équivalent électronique de la monnaie papier au travers d’une carte à puce pouvant contenir jusqu’à cinq devises différentes. Délivrée par les banques, la carte Mondex est liée à un compte bancaire. Le principal avantage du système est de permettre aux individus de s’échanger directement de l’argent électronique entre leurs cartes. Chaque utilisation génère une signature électronique unique permettant d’authentifier les cartes Mondex (13).

Ainsi, le porte-monnaie électronique respecte de nombreux impératifs : internationalisation, sécurité, anonymat et développement des services télématiques. Mais le processus d’authentification aura lieu à partir d’un lecteur de carte à puce dont l’utilisateur devra faire l’acquisition. Notons toutefois que les cartes à puce présentent également l’avantage d’effectuer des transactions hors ligne.

2. Le porte-monnaie virtuel

Du support carte à puce, l’on passe à nouveau au support disque dur. Nous prendrons ici l’exemple du système DigiCash (notons l'existence d'un système concurent nommé Millicent). Ce dernier implique l’enregistrement préalable des commerçants et des clients auprès de la société DigiCash. Il permet au consommateur de retirer des unités de monnaie (Ecash) de son institution financière et de les stocker sur le disque dur de son ordinateur personnel dans un logiciel spécifique (Cyberwallet). Les retraits son effectués à l’aide d’un numéro d’identification personnel. La constitution des unités de paiement présente un caractère original en ayant recours à la technique des signatures " aveugles ". Un algorithme présent dans le logiciel du consommateur permet de générer une centaine de numéros représentant la matière première des unités de valeur. Le client les envoie alors à sa banque qui les validera en y ajoutant une suite de nombre. L’ensemble détermine une somme précise que la banque retire du compte du consommateur avant de lui retourner les unités de paiement. Ce procédé ne permet pas à la banque d’identifier les unités qu’elle a validées. Lorsque le consommateur utilise l’Ecash pour effectuer un paiement, le commerçant demande à la banque d’en vérifier la validité. La banque n’a plus qu’a reconnaître sa signature apposée sur chacune des unités de paiement. Mais, grâce au procédé décrit ci-dessus, elle ne pourra pas identifier leur provenance. Ainsi le consommateur utilise l’Ecash comme s’il s’agissait de monnaie papier, c’est à dire de façon anonyme au regard de l’institution bancaire. Par la suite, le commerçant pourra demander la conversion de l’Ecash en argent ou bien déposer l’Ecash sur son propre compte. A l’instar du procédé Mondex, ce système permet d’effectuer des transferts de monnaie électronique d’une personne à l’autre.

Là encore de nombreux impératifs sont respectés. Mais un tel système implique que la banque du consommateur accepte d’effectuer la conversion entre l’Ecash et l’argent. En outre, l’existence de la monnaie virtuelle reste soumise à la stabilité des systèmes informatiques que l’on sait capricieuse. L’impératif lié à l’environnement informatique sera difficilement respecté.

La multiplication et la diversité des systèmes de paiement peuvent prêter à confusion. D’autant plus que les sociétés favorisant l’utilisation des cartes de crédit s’investissent également dans la constitution de monnaie électronique (14). Au regard des qualités intrinsèques de chacun des moyens de paiement étudiés, leur coexistence demeure malgré tout envisageable. Mais peut-être n’est elle pas souhaitable. La fragilité des sites commerciaux appelle sans nul doute une plus grande cohérence des systèmes de paiement. Enfin, l’évolution du télépaiement sur l’Internet dépendra en partie de la résolution des problèmes juridiques latents ayant trait principalement à l’atteinte au monopole bancaire, à l’irrévocabilité, au risque et à la preuve du paiement (15).

L. T.

Bibliographie

• Olivier Bruzek, " Pas facile de gagner sa vie ", Le Point, 17 octobre 1998, pp. 164-166.

• M. Cabrillac, Monétique et droit du paiement, Mélanges de Juglart, LGDJ 1986.

• Lionel Costes, " transactions en ligne, paiement électronique, galerie marchandes virtuelles…", Bulletin d’actualité du Lamy droit de l’informatique, novembre 1997, pp. 1-6.

• James Gleick, " Dead as a Dollar ", The New York Times Magazine, June 16, 1996, section 6, P. 26

• Mark Hodges, Is web Business Good Business ?, http://www.web.mit.edu/afs/athena/org/techreview/www/articles/as97/hodges.html

• Jérôme Huet, " Aspect juridiques du commerce électronique : approche internationale ", Petites Affiches, 26 septembre 1997, pp. 6-18.

• Stéphane Lefer, " Sécurité et confiance : maîtres mots du commerce électronique ", Bulletin d’actualité du Lamy droit de l’informatique, janvier 1998, pp. 1-3.

• Steven Levy, " E-Money (That’s Want I Want) ", 4.04 Wired, p. 174.

• Alexandre Menais, La reconnaissance juridique de la signature électronique, Juriscom.net, Septembre 1998, http://www.juriscom.net/droit/espace2/signelec.html

• Valérie Sédallian, Droit de l’Internet, Collection AUI, Ed. Netpress, Paris, 1997, pp. 219-232.

• Felix Stalder, Andrew Clement, Electronic Money : Preparing the Stage, June 1997, http://www.fis.utoronto.ca/~stadler/html/e-cash/html

• Pierre Trudel (dir.), France Abran, Karim Benyekhlef, et Sophie Hein, Droit du cyberespace, Les Editions Thémis, 1997, Chapitre 19.

• SET Secure Electronic Transaction Specification, Book 1: Business Description, Version 1.0, May 31, 1997.

• Rapport du CNCT, " Problèmes juridiques liés à la dématérialisation des moyens de paiement et de titres ", Bulletin d’actualité du Lamy droit de l’informatique, novembre 1997, pp. 15-16.

Notes

15. sur ces questions voir : Valérie Sédallian, Droit de l’Internet, Op.Cit. , pp. 225-232 ; Jérôme Huet, " Aspect juridiques du commerce électronique : approche internationale ", Op. Cit. ; Pierre Trudel (dir.), France Abran, Karim Benyekhlef, et Sophie Hein, Droit du cyberespace, Op. Cit., Chapitre 19, pp. 41-42 ; Lionel Costes, " transactions en ligne, paiement électronique, galerie marchandes virtuelles…" ; Rapport du CNCT, " Problèmes juridiques liés à la dématérialisation des moyens de paiement et de titres ", Bulletin d’actualité du Lamy droit de l’informatique, novembre 1997, pp. 15-16.