×L'Editorialjustice régions Dossiers Compétences & RH Société Brèves International Brèves internationales Courrier des Lecteurs LE CERCLE DES EXPERTS Documents Lois à polémiques Docs de L'Economiste prix-de-la-recherche Prix de L'Economiste Perspective 7,7 Milliards by SparkNews Earth Beats Solutions & Co Impact Journalism Day cop22Spécial Cop22 Communication Financière

Entreprises

La carte à mémoire, moyen de paiement

Par L'Economiste | Edition N°:20 Le 12/03/1992 | Partager

Réflexions sur certains aspects juridiques
et informatiques


Les cartes de paiement sont à pistes magnétiques ou à mémoire. Les premières sont les plus anciennes et les plus courantes dans plusieurs pays, dont le Maroc; les secondes plus récentes et font appel à une technique plus sophistiquée.
Dès leur émission, les cartes posent problème en raison du vide juridique en la matière. Au delà, quand commence l'utilisation, ce sont les risques de fraude et même d'atteinte à la vie privée qui appellent les réflexions juridiques.


LA forme de la carte à mémoire dite aussi à puce n'est pas trop différente de celle de la carte à pistes magnétiques.
C'est au niveau de leur alimentation technique que les deux cartes diffèrent. Au lieu des pistes magnétiques, la carte à puce est dotée d'un ordinateur avec ses programmes, ses fichiers et ses zones. Ce qui la rend active et intelligente. Elle contient:
· Un microprocesseur qui gère l'utilisation des zones de la mémoire et exécute les programmes.
· Une mémoire avec des zones secrètes, confidentielles et non confidentielles permettant de mémoriser les détails des utilisations de la carte.
· Des circuits électroniques permettant l'échange d'informations avec l'extérieur.
Ainsi, la carte à mémoire contient un circuit logique qui permet le contrôle d'accès et la hiérarchisation des zones.
S'agissant du contrôle d'accès, ce circuit tend à vérifier la qualité du porteur par l'intermédiaire de l'algorithme du code confidentiel se trouvant à l'intérieur de la carte, contrairement au système de la piste magnétique qui inclut cet algorithme dans le matériel. De la sorte, les risques de fraude sont limités puisque si le code confidentiel est découvert seule la carte en question est susceptible d'être utilisée frauduleusement alors que dans le système de la piste magnétique, si cet algorithme situé à l'intérieur du matériel est découvert, c'est tout le système qui s'écroule.

Dans ce dernier cas, pour découvrir le code, il faut avoir un décodeur et accéder à la boite noire du matériel contenant l'algorithme de ce code. Dès lors, le fraudeur peut utiliser des cartes à pistes "dupliquées" pour effectuer les opérations qu'il veut.
Par ailleurs, les zones mémoires et les fonctions de la carte à puce sont hiérarchisées.
Il y a, en effet, une zone secrète dont l'accès n'est possible que pour l'émetteur ou pour le constructeur à des fins d'expertise.
Il y a ensuite une zone confidentielle réservée au porteur et qui permet à ce dernier d'accéder, par le code confidentiel, aux services rendus par la carte.
En troisième lieu, il y a une zone semi-confidentielle utilisable par le titulaire.
Inventée en 1974 par l'ingénieur français Roland Moreno, la carte à microcircuit a fait l'objet de plusieurs dépôts de brevets d'invention dans plusieurs pays du monde et a permis le développement de diverses applications notamment industrielles, au Japon surtout.
Dans le domaine bancaire, la carte à puce à été expérimentée dans certains pays, notamment en France et précisément à Blois, Lyon et Caen. Au Maroc, elle n'est pas utilisée par les banques.
Même s'il est conscient de l'efficacité et de la fiabilité de cette carte, le secteur bancaire hésite à la généraliser dans certains pays ou même à l'adopter dans d'autres en tant que moyen de paiement à cause de son coût élevé (15 à 20 F limite).

Notons, ici, que la puce est aujourd'hui utilisée comme moyen de sécurité (identification du titulaire) sur des cartes à pistes magnétiques, en particulier en France.
Quoi qu'il en soit, la mise en circulation de la carte à puce ne doit pas constituer pour les banques le démarrage d'un nouveau système. Ayant nécessité d'importants investissements, le système des pistes magnétiques en place, doit pouvoir être adapté à la nouvelle carte. D'où la nécessaire mixité de celle-ci (à puce et pistes) et des matériels en vue d'assurer la transition de la technique de la piste vers celle de la puce. Il est à noter, cependant, que dans beaucoup de pays, la technique de la carte à mémoire est largement utilisée par les Télécommunications dans les publiphones, marquant ainsi son plus grand succès commercial notamment en France.
Constituant la carte bancaire de l'avenir très proche, la carte à mémoire ne manque pas de soulever un certain nombre de problèmes juridiques dont la résolution s'impose pour ne pas freiner l'évolution de cette carte en matière bancaire.
Ces problèmes juridiques peuvent apparaître aussi bien au niveau de l'émission (I) qu'au stade de l'utilisation (II) de la carte à mémoire.

L'émission de la carte à mémoire


En principe, l'émission de la carte à mémoire ne doit pas poser de problèmes juridiques différents de ceux rencontrés pour la carte à pistes magnétiques.
Toutefois, deux principales questions méritent d'être examinées en raison de la spécificité technique de la carte à mémoire par rapport à la carte à pistes magnétiques: quel est le sort de l'émission de la carte à puce au regard de la législation bancaire et de l'impératif de protection de la vie privée des clients porteurs de ce type de cartes?

A- L'émission de la carte à mémoire au regard de la législation bancaire
Dans des pays, comme le Maroc, où la législation bancaire actuelle ne contient aucune disposition relative aux cartes bancaires, les banques sont libres d'émettre des cartes de paiement et de crédit à pistes magnétiques ou à mémoire.
Dans d'autres pays, comme la France et l'Algérie, la législation bancaire permet aux banques d'émettre des moyens de paiement sous quelque forme que ce soit.
La carte à puce peut, par conséquent, être librement émise par les établissements bancaires dans le cadre de leur activité.
Mais qu'en est-il si cette carte est émise par des organismes autres que les banques, offrant des services financiers?
Cette question se posera dans le proche avenir au Maroc avec la réforme de la loi bancaire et les projets en cours de certains grands magasins pour l'émission de leurs cartes privatives.
Le problème se pose en raison de la prolifération, dans les pays développés, des cartes dites "privatives" émises par les grands magasins. Jusqu'à ces dernières années celles-ci ne posaient pas de problème au niveau de leur émission car elles n'étaient conçues que pour "fidéliser" la clientèle des émetteurs, en lui octroyant des facilités de paiement des biens et services proposés.
Mais, on constate actuellement, que les fonctions des cartes "privatives", aujourd'hui à pistes magnétiques, tendent à dépasser le cadre des facilités de paiement. Les grands magasins, surtout, commencent à se lancer dans le "Retail Banking", en proposant à leurs clients des produits financiers extérieurs à leur activité, et ce, à partir de leurs cartes privatives. "Alors que nous disposons de fichiers clients, il serait stupide de ne pas en profiter pour diversifier nos propositions", déclarait un dirigeant des 3 Suisses en France.

Ainsi, dans ce pays, par leur carte "Cofinoga" les Nouvelles Galeries proposent à leurs clients des crédits, des polices d'assurance, des abonnements aux revues, etc... De même pour la Redoute avec sa carte "Kangourou". Il en est de même pour les 3 Suisses avec leur carte "4 étoiles" et pour Carrefour avec sa carte "Pass".
Devant cette situation, les banques, craignant une concurrence d'un étranger à la profession bancaire, sont en droit de s'interroger sur les limites des services que peuvent proposer les cartes privatives.
L'article 1er Al. 2 de la loi bancaire Française du 24 Janvier 1984 qualifie d'opérations de banque la mise à disposition de la clientèle ou la gestion des moyens de paiement.
Et l'article 4 de la même loi donne une définition large de ces moyens. Selon ce texte "sont considérés comme moyens de paiement tous les instruments, qui, quel que soit le support ou le procédé technique utilisé, permettent à toute personne de transférer des fonds".
Il est indiscutable que les cartes bancaires à pistes et à puce, sont visées par cette définition. Leur émission est donc, une opération de banque.
Est-ce dire, a contrario, que les émetteurs des cartes privatives doivent, pour ce faire, avoir la qualité d'établissements financiers au risque de tomber sous le coup des interdictions de l'article 10 de la loi du 24 Janvier 1984.

Si les cartes privatives sont émises pour l'achat auprès de l'émetteur d'un bien ou d'un service déterminé. La qualité d'établissement financier n'est pas exigée. L'article 12-5 faisant exception aux interdictions de l'article 10, dispose, en effet, que toute entreprise quelle que soit sa nature peut "émettre des bons et cartes délivrés pour l'achat, auprès d'elle, d'un bien ou d'un service déterminé".
Raisonnant, a contrario, nous déduisons de ce texte que dès que les cartes privatives tendent à offrir aux clients des services autres que ceux liés à l'achat, auprès de l'émetteur, d'un bien ou d'un service déterminé, elles tombent sous le coups des interdictions légales de l'article 10. L'émetteur sera exposé aux sanctions légales prévues par l'article 75 de la loi bancaire: emprisonnement et amende, fermeture de l'établissement, publicité du jugement.
Pour éviter ces interdictions, la seule solution pour l'émetteur des cartes privatives, qu'elles soient à pistes ou à puce, consisterait à obtenir au préalable la qualité d'établissement financier dans les conditions prévues par les articles 15 et suivants de la loi bancaire du 24 Janvier 1984.

B - La protection de la vie privée du titulaire de la carte à mémoire
Par la nature de ses fonctions, le banquier est amené à collecter et à conserver des informations sur ses clients sous forme de fichiers.
Manuels il y a quelques années, ces fichiers sont de plus en plus informatisés. Ce qui accroît les dangers d'atteinte à la liberté individuelle et à la vie privée. Contenant des informations diverses et facilement interconnectables, ces fichiers peuvent constituer un instrument efficace, entre les mains des banques, en particulier et de l'Etat, en général pour surveiller les activités et les déplacements des personnes fichiées.
Ainsi, à travers les paiements effectués par un individu, il est possible de connaître ses médecins, ses avocats, ses créanciers, ses appuis politiques, ses attaches religieuses, ses goûts intellectuels, ses lectures, etc.
S'ajoute à ce danger celui de divulgation des informations à des tiers qui en font une exploitation préjudiciable à la personne fichiée.
D'où la nécessaire protection juridique de cette dernière.
Cette protection peut être assurée, au moins contre la divulgation, par l'obligation au secret professionnel qui pèse sur le banquier.
Cette obligation au secret professionnel "...devrait dissiper bien des craintes quant aux atteintes possibles à la vie privée, mais il subsiste des préoccupations légitimes" (11 bis), à propos de l'exactitude et de l'utilisation des informations contenues dans les fichiers bancaires.
C'est pourquoi plusieurs pays se sont dotés de législations tendant à assurer la protection de la vie privée face au développement de l'informatique dans tous les secteurs de la vie quotidienne des citoyens.

A titre d'exemples, on peut citer la loi danoise N°293 du 8 Juin 1978 sur les registres privés, le projet de la loi provisoire belge assurant la protection de certains aspects de la vie privée, la loi norvégienne du 9 Juin 1978 sur les registres de personnes, la loi de la République Fédérale d'Allemagne (Bundes datens chutzgesetz) du 27 Janvier 1977, la loi anglaise (consumer credit act) de 1974, les textes suédois du 11 Mai 1973 (Data Act, modifiée le 1er Juillet 1979) et le Fair Credit Reporting Act du 14 Décembre 1973, la convention Européenne pour la protection des personnes à l'égard des traitements informatiques.
Le Maroc n'a pas encore de législation spécifique dans ce domaine.
En France, par exemple, c'est la loi n°78-17 du 6 Janvier 1978 relative à l'Informatique, aux Fichiers et aux Libertés qui tend à assurer cette protection.
La carte à mémoire amplifie les risques d'atteinte à la vie privée en raison de ses capacités techniques de contenir plusieurs informations sur le titulaire et de sa "mobilité" matérielle puisqu'elle a tendance à circuler entre les mains du porteur pour son utilisation, d'autant que le commerçant agréé pourra, par la voie du Terminal Point de vente, accéder à certains fichiers qu'elle renferme.
En France, tous les fichiers relatifs aux porteurs de cartes de crédit doivent faire l'objet d'une déclaration à la Commission Nationale de l'Informatique et des Libertés (CNIL), conformément aux dispositions de la loi Informatique, Fichiers et Libertés du 6 Janvier 1978.

Il faut noter, ici, qu'une déclaration simplifiée suffit en application de la norme simplifiée n°12 du 8 Juillet 1980 concernant les traitements automatisés d'informations nominatives relatives à la tenue des comptes de la clientèle par les établissements bancaires et assimilés.
Outre cette norme à caractère général, la CNIL a émis des délibérations spécifiques aux cartes à puce. Il en est ainsi des délibérations rendues pour l'utilisation de ces cartes dans le domaine des transports et de la santé notamment.
Dans le domaine des cartes bancaires, l'arrêté du 16 Octobre 1987 (J.O. 30 Octobre 1987, p. 12646) a permis la création d'un traitement automatisé relatif à l'utilisation, à titre expérimental, des cartes bancaires à mémoire dans les publiphones.
Ainsi, la CNIL laisse se dérouler les expériences sur les cartes à mémoire tant qu'elles ne violent pas les dispositions de la loi Informatique, Fichiers et Libertés, puis donne son avis à la lumière des résultats de ces expériences.

L'utilisation de la carte à mémoire


An niveau de l'utilisation de la carte à puce, nous soulevons deux catégories de problèmes: modalités d'utilisation et risque d'utilisations malveillantes de cette carte.

A- Les modalités d'utilisation de la carte à mémoire
Les modalités d'utilisation de la carte à microcircuit sont définies par les contrats "porteur" et "commerçant" qui déterminent, en outre, les obligations et responsabilités de l'émetteur, du porteur et du commerçant.
Le contenu de ces contrats ne doit pas être trop différent par rapport aux conventions relatives aux actuelles cartes à pistes magnétiques, sauf en ce qui concerne les points propres à la spécificité technique de la carte à puce.
Ceci étant, il convient de se demander sur les mécanismes juridiques qui peuvent servir de base à l'utilisation de cette carte.

Deux techniques sont possibles:
a) A la remise de la carte à mémoire par la banque, le compte du porteur est immédiatement débité du montant du plafond inscrit dans la mémoire de celle-là. C'est la carte "prépayée"ou ce qu'on appelle parfois "le portefeuille électronique". La carte se décharge au fur et à mesure des achats effectués par le client. Une fois épuisée la somme autorisée, son titulaire la fera recharger par la banque ou la changera.
Pour la mise en oeuvre de ce mécanisme de la carte à mémoire prépayée, deux formules juridiques sont imaginables.
1- A la remise de la carte au client, la somme portée au débit du compte de ce dernier est inscrite sur un compte spécial.
Juridiquement, cette somme appartient au client qui ne peut en disposer qu'en utilisant la carte à mémoire. Il ne peut pas, par conséquent, la considérer comme une provision à des chèques qu'il tirera ou à un virement qu'il ordonnera. Une telle interdiction peut être prévue dans le contrat-porteur, en vue d'éviter une contestation ultérieure du client.
Mais qu'advient-il de cette somme en cas de liquidation juridiciaire du client ou de Saisie-arrêt de son compte?
Faisant partie du patrimoine du titulaire de la carte à mémoire, le compte spécial peut être saisi par les créanciers.
Ce qui constitue une atteinte aux droits des commerçants, payés à l'aide de cette carte; ils seront traités comme des créanciers chirographaires et devront subir les vicissitudes de la procédure de la liquidation judiciaire.
Toutefois, ce risque peut être tempéré par la garantie d'un plafond par l'émetteur dans les mêmes conditions que les cartes à pistes magnétiques.
2- La seconde formule consiste à débiter le compte du client du montant mémorisé par la carte, sans inscription de cette somme sur un compte spécial.
En remettant la carte au client, la banque se trouve libérée à son égard, mais a une créance vis-à-vis des tiers, à savoir les commerçants acceptant ce mode de paiement.

Quel fondement juridique peut expliquer cette formule?
S'il s'agit d'une cession de créance (la créance qu'a le commerçant sur le client acheteur d'un bien ou service), application doit être faite des formalités de droit civil propre à ce système. Ce qui alourdira le mécanisme et diminuera de son efficacité.
La stipulation pour autrui peut par contre, servir de fondement commode en la matière.
En plus de ces problèmes juridiques de qualification du mécanisme de la carte à mémoire prépayée, se pose la question - peut-être la plus importante- d'acceptation de cette formule par les clients et les commerçants. L'on imagine mal un client qui accepterait que son compte soit débité préalablement à des achats qu'il n'effectuerait peut-être jamais.
C'est pourquoi, utilisée actuellement en France par les P.T.T dans les publiphones, cette technique de carte à mémoire prépayée est mise en sommeil par les banques.
b- Selon le second procédé, la banque du porteur, sans débiter le compte de ce dernier à la remise de la carte, inscrit dans la mémoire de celle-ci le plafond des paiements autorisés.
La carte se déchargera au fur et à mesure des paiements effectués. On parle de "chéquier électronique".
C'est cette seconde technique qui est, actuellement, retenue par les banques.
Dans ce cas, les comptes respectifs du porteur et du commerçant ne sont pas immédiatement débités et crédités. Le microprocesseur de la carte enregistre les transactions effectuées dont les éléments peuvent être transposés soit sur une cassette lisible par le Centre Informatique Bancaire, soit sur une autre carte à mémoire du commerçant dite "carte-caisse".

Dans le premier cas, le contenu de la cassette est télétransmis à ce centre qui se charge des débits et des crédits nécessaires.
Dans la seconde hypothèse, le commerçant remet la carte-caisse à sa banque qui crédite son compte et dénoue l'opération en un circuit de compensation automatique pour débiter le compte du porteur.
Dans ce mécanisme, le plafond mémorisé dans la carte constitue une garantie pour le commerçant. Ce dernier ne court plus le risque de défaut de provision du compte du client au-delà de la somme garantie dans le système des cartes à pistes magnétiques.
Vis-à-vis du titulaire de la carte à mémoire, la banque consent, en réalité, une ouverture de crédit. Si la carte contient en elle un pouvoir d'achat plafonné; cela ne signifie pas que le compte du client est créditeur à concurrence du plafond autorisé (c'est l'inverse de ce qui se passerait pour la carte à mémoire prépayée).
Toutefois, cette ouverture de crédit doit être révocable, la banque émettrice pouvant à tout instant, retirer la carte à puce si elle constate une indélicatesse du titulaire et ce, sans préjudice des droits du commerçant qui se serait fait payer par la carte dans la limite du plafond mémorisé par celle-ci.

B- Les utilisations malveillantes de la carte à mémoire
En principe, l'on ne devrait pas parler d'utilisations malveillantes de la carte à mémoire étant donné la haute sécurité que procure la technique de cette carte.
Toutefois, il reste des cas d'utilisation abusive par le titulaire et d'utilisation frauduleuse par un tiers.
a- L'utilisation abusive demeure possible en cas de non restitution par le titulaire de la carte dont la banque lui a signifié l'annulation. Ce cas risque de se réaliser lorsque l'émetteur entend suspendre ou mettre fin aux services bancaires offerts à un client indélicat.
Dans ce cas, le titulaire peut être poursuivi pour abus de confiance, à condition que la banque lui ait notifié par écrit (de préférence par lettre recommandée) l'annulation de la carte.
b- L'utilisation frauduleuse par un tiers peut arriver en cas de perte ou de vol de la carte à mémoire. Un tiers trouve ou vole une carte à puce avec son code confidentiel et l'utilise soit pour des retraits sur des Guichets Automatiques, soit pour des achats chez les commerçants.
Juridiquement, déjà le vol de la carte constitue une infraction dont le tiers "voleur" se rend coupable, conformément au droit commun.
Quant à son utilisation, il s'agit d'une escroquerie car l'utilisateur se sera donné une fausse identité en vue de se procurer des fonds d'autrui.
Sur le plan civil, le titulaire de la carte perdue ou volée doit faire une déclaration à l'émetteur et reste responsable des dépenses éventuellement effectuées jusqu'à cette déclaration. Cependant, malgré cette opposition, la responsabilité du titulaire peut subsister si une faute est relevée à sa charge. Ce sera le cas lorsque le titulaire permet au tiers qui vole ou trouve la carte de prendre connaissance du code grâce à un document écrit le mentionnant d'une manière telle que son utilité (faire fonctionner la carte) est facile à découvrir.

Bénéficiant d'un service particulier qui comporte des risques, le client doit en assumer les conséquences dès lors qu'une négligence ou imprudence est établie à sa charge.
Par ailleurs, la responsabilité du titulaire peut être engagée s'il déclare la perte ou le vol de la carte à puce mais omet de déclarer la perte ou le vol avec elle du code confidentiel servant à son utilisation.
Il est certain que la technique de la carte à puce met fin à un bon nombre de problèmes jusque là posés par la carte à pistes magnétiques, mais amplifie cependant d'autres, tel le risque d'atteinte à la vie privée des porteurs. Une protection spécifique s'impose ici dans le cadre, évidemment, des législations relatives à la protection de la vie privée, lorsqu'elles existent.
Il est également nécessaire de mettre en place des conventions adéquates et claires pour les modalités d'utilisation de la carte à puce.
Quant aux utilisations malveillantes de cette carte, les risques sont largement faibles par rapport à la carte à pistes magnétiques.
Elles ne manqueront pas, toutefois, de se produire car il ne faut pas sous-estimer l'ingéniosité des fraudeurs dans le domaine informatique et télématique. Dans ce cas, le Droit prendra la relève de la technique à condition que le législateur et la jurisprudence suivent les évolutions technologiques!

  • SUIVEZ-NOUS:

  1. CONTACT

    +212 522 95 36 00
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

    70, Bd Al Massira Khadra
    Casablanca, Maroc

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc