10 Mai 2022
LA SECURITE DU COMMERCE SUR INTERNET
Le développement des nouvelles technologies de l’information et de la communication a permis l’apparition d’internet, et celui-ci a permis la mise en place du commerce en ligne, autrement appelé, commerce électronique.
C’est la loi pour la confiance dans une économie numérique, du 21 juin 2004, qui définit le commerce électronique dans son article 14 comme « l’activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou services ».
Toutefois, l’immense majorité des contrats conclus dans le commerce électronique s’exécutent dans le monde matériel ; donc souvent des biens corporels qui sont livrés par une personne physique. Et c’est bien parce qu’ils s’exécutent à distance, qu’ils doivent impérativement respecter les conditions de sécurité et de confidentialité. En effet, lorsqu’on réalise un achat sur internet, la plupart du temps, on transfert des données personnelles, données qui peuvent être extrêmement sensibles et que si elles ne sont pas protégées, elles peuvent impacter gravement la vie privée d’une personne
C’est la raison pour laquelle, certaines dispositions concernant la sécurité des paiements, la protection des consommateurs et également, la signature sécurisée des contrats électroniques ont été adoptées.
Besoin de l’aide d’un avocat pour un problème de contrefaçon ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
I. La signature électronique
En vertu de l’article 1367 aliéna 2 du code civil, « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité de la signature assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État ».
Depuis le règlement européen n° 910/2014 du Parlement européen relatif à la signature électronique (règlement eIDAS), on distingue 3 niveaux de signatures : la signature simple, la avancée et la qualifiée.
Les signatures électroniques ne bénéficiant pas d’une présomption de fiabilité sont la signature électronique simple et avancée.
Qu’est-ce une signature simple ?
Cette signature est définie par le règlement eIDAS du 23 juillet 2014 comme « des données sous forme électronique qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Il faut savoir que cette signature est la plus utilisée, dans la vie courante, puisqu’elle est rapide et efficace.
Toutefois, elle a ses limites, notamment pour la signature numérisée. En effet, la Cour de cassation a rendu un arrêt en date du 17 mai 2006 (Cass. Soc. N° 04-46.706) où elle estimait que la signature manuscrite était scannée apposée sur une lettre de licenciement n’avait pas de valeur probatoire et était donc irrégulière. Par là, il faut comprendre que la signature simple ne permet pas de garantir que la personne qui rédige et appose sa signature est bien la personne qui était présente pour s’engager. Par conséquent, elle apparaît comme la moins fiable puisqu’elle ne permet pas d’authentifier avec certitude la personne qui signe le document ni l’intégrité des données signées.
Ensuite, il y a la signature avancée.
Qu’est-ce une signature avancée ?
L’article 26 du règlement eIDAS prévoit que la signature électronique avancée doit respecter certaines exigences
-Il est nécessaire que la signature soit liée au signataire de manière univoque
-Elle doit identifier le signataire
-Elle doit avoir été créée à l’aide de données de création de signatures électroniques
-Elle doit être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
En revanche, la signature électronique, qui elle bénéficie d’une présomption de fiabilité, est la signature qualifiée. L’article 1er du décret n° 2017-1416 du 28 septembre 2017 énonce ainsi que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée ».
L’article 3 du règlement eIDAS de 2014 définit la signature qualifiée comme « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signatures électroniques qualifiée, et qui repose sur un certificat qualifié de signature électronique ».
Ce certificat est en quelque sorte une carte d’identité électronique qui doit permettre d’établir un lien entre la personne et sa signature. Il est délivré par un prestataire de service de confiance qui obtient son agrément auprès de l’ANSSI. Ce certificat doit contenir des mentions obligatoires comme l’identité et la signature du prestataire de services de certification électronique.
Cependant, la jurisprudence a admise que même si une signature électronique ne bénéficie pas d’une présomption de fiabilité, elle pourra être admise par le juge si leur fiabilité technique est démontrée. En effet, dans un arrêt en date du 6 avril 2016, la Cour de cassation a confirmé la décision des juges du fond de considérer comme fiable une signature qui n’a pas été effectuée conformément aux techniques fixées par décret.
En cas de contestation de la fiabilité d’une signature électronique qualifiée, il appartiendra à celui qui conteste de prouver que la signature n’est pas fiable. Dès lors, la charge de la preuve est inversée.
II. Sécurité des paiements en ligne
Aujourd’hui, pour effectuer un achat en ligne, il est nécessaire de passer par une opération de paiement, et celle-ci doit être sécurisée et confidentielle.
L’article L. 133-3 du code monétaire et financier dispose qu’une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire.
A l’heure actuelle, il existe plusieurs moyens de paiement électroniques :
1.Paiement par carte bancaire en ligne ou par e-carte bancaire
La banque attribue à son client un numéro de carte à usage unique, cela évite la circulation du numéro de la carte bancaire. Concernant la sécurité, le prestataire doit s’assurer que les dispositifs de sécurité personnalisés de la carte ne soient pas accessibles à d’autres personnes. Le titulaire de la carte s’oblige à rembourser à la banque, les sommes qui sont représentatives des achats.
2.La monnaie électronique
La monnaie électronique n’est pas à confondre avec la cryptomonnaie. La monnaie électronique est une valeur monétaire stockée sous forme électronique sur un support tel qu’une carte prépayée ou tout autre support informatique, représentant une créance sur l’émetteur et qui est émise contre la remise de fonds aux fins d’opérations de paiement.
3.Portefeuille électronique (e-wallet)
C’est l’exemple de PayPal ou ApplePay, et c’est un système dans lequel sont stockées des données personnelles, coordonnées et des données bancaires.
4.Cryptomonnaies ou actifs numériques
Elles fonctionnent grâce au Blockchain, le bitcoin naturellement.
Ils sont considérés comme des « tokens » les jetons non fongibles, tout instrument contenant sous forme numérique des unités de valeurs monétaires pouvant être transférées ou conservées dans le but d’acquérir en biens ou services, mais ne représentant pas des créances sur la méthode.
Il convient toutefois de préciser que les paiements faits sur bitcoin sont faits dans un but lucratif ; en France le paiement d’argent s’effectue en euro (art. 1343-3 du Code civil).
III. Protection des consommateurs
Les consommateurs sont aussi protégés lorsqu’ils effectuent des achats en ligne. La plupart des opérations nécessitent une authentification forte. Celle-ci s’entend comme une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement
La loi impose le remboursement immédiat pour toute transaction effectuée sans authentification forte. Toutefois, en cas de fraude à la carte bancaire, le porteur peut obtenir le remboursement des débits frauduleux et des frais occasionnés en s’adressant auprès de sa banque. L’établissement de crédit doit rembourser le payeur le montant de l’opération immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé. En cas de perte, de vol, etc. , le payeur supporte les conséquences avant d’avoir formé opposition même s’il y a un plafond de 50 euros.
Cependant, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier.
Selon une jurisprudence de la chambre commerciale de la Cour de cassation, la faute du porteur de carte ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Com. 18 janvier 2017, n° 15-18.102).
La victime du hameçonnage peut voir sa responsabilité engagée pour négligence grave s’il a reçu un courriel frauduleux et communiqué des données sensibles. La négligence grave doit s’apprécier in abstracto aux regards d’indices et au regard d’un utilisateur normalement attentif aux caractéristiques d’un courriel frauduleux.
Par ailleurs, les personnes dont les données personnelles font l’objet d’un traitement bénéficient de plusieurs droits :
-Droit d’accès (article 15 du RGPD)
-Droit de rectification (article 16 du RGPD)
-Droit à l’oubli (article 17 du RGPD)
-Droit à la limitation du traitement (article 18)
-Droit à l’opposition
Aussi, le responsable de traitement doit s’assurer dans un premier temps que les données traitées sont bien protégées dès la conception de l’outil numérique concerné (Privacy by design). Il aura alors recours à certaines techniques très spécifiques telles que la pseudonymisation ou la minimisation des données – selon la CNIL “le principe de minimisation des données prévoit que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”.
Les pratiques commerciales déloyales sont interdites. Selon l’article L. 121-1 du code de la consommation est considérée comme déloyale une pratique commerciale contraire aux exigences de la diligence professionnelle et qui altère ou est de nature à altérer de manière substantielle le comportement économique du consommateur
Sont des pratiques déloyales, des pratiques trompeuses et dangereuses.
Les pratiques trompeuses sont visées à l’article L. 121-2 et L. 121-3 du code de la consommation et sont interdites, car regardées comme déloyales à l’égard des consommateurs, dans la mesure où elles reposent sur des allégations, indications ou présentations fausses ou de nature à induire en erreur le consommateur ou encore parce qu’elles se caractérisent par une ou des omissions.
La pratique dangereuse, elle, soit altère ou est de nature à altérer de manière significative la liberté de choix d’un consommateur ; soit elle vicie ou est de nature à vicier le consentement d’un consommateur ; soit elle entrave l’exercice des droits contractuels d’un consommateur (article L. 121-6 code de la consommation).
Toutefois, malgré toutes ces dispositions, la sécurité dépendra surtout du comportement du consommateur ou de l’utilisateur. Ce dernier doit, en effet, adopter certains mécanismes lorsqu’il surfe sur le net. Il est, ainsi, recommandé :
1) ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ;
2) toujours vérifier, dans la barre d’adresse du navigateur, l’adresse du site internet avant de saisir les informations demandées ;
3) toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandés des identifiants ;
4) lors de la consultation de sites sécurisés (sites bancaires, par exemple), s’assurer de l’activation du cryptage des données (l’adresse du site doit commencer par https et non par http)
5) en cas de doute, prendre contact directement avec l’entreprise concernée (votre banque, votre fournisseur d’accès à l’internet, etc.) pour lui signaler le message suspect.
Pour lire une version plus complète de la sécurité du commerce sur internet, cliquez
SOURCES :
https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-reglement-eidas/
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000035676246/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000032389405/