M-PAYMENT et CONTACT LESS : QUELS ENJEUX JURIDIQUES ?

1. M-PAYMENT et CONTACT LESS :QUELS ENJEUX JURIDIQUES ? Cathie-Rosalie JOLY Avocat au barreau de Paris - Docteur en droit cathierosalie.joly@ulys.net www.ulys.net

2. M-Payment & Contact LessQuels enjeux juridiques? • Quels sont les défis juridiques pour permettre le développement du m-paiement et du paiement sans contact ? • L’absence d’harmonisation : frein au développement ? • Perspectives européennes pour les opérateurs de paiement via mobiles ? • Quels sont les risques juridiques liés au développement du paiement sans contact ? • Utilisation frauduleuse du mobile, qui supporte les risques ? • Quels risques pour les données ? (loi informatique et libertés)

3. Quels sont les défis juridiques pour permettre le développement du m-paiement & du paiement sans contact ? • L’absence d’harmonisation : frein au développement ? • Perspectives européennes pour les opérateurs de paiement via mobile ?

4. L’absence d’harmonisation : frein au développement ? • Qui peut émettre ou gérer des moyens de paiement pour mobile? Moyen de paiement: concernetous les instruments qui, quel que soit leur support ou le procédé technique utilisé, permettent à toute personne de transférer des fonds. • Selon le droit européen harmonisé : • Établissement de crédit :« une entreprise dont l'activité consiste à recevoir du public des dépôts ou d'autres fonds remboursables et à octroyer des crédits pour son propre compte ». Passeport européen OK • Établissement de monnaie électronique :« une entreprise ou toute autre personne morale, autre qu'un établissement de crédit (…), qui émet des moyens de paiement sous la forme de monnaie électronique » Passeport européen OK e-monnaie • Établissement financier :« une entreprise, autre qu'un établissement de crédit, dont l'activité principale consiste à prendre des participations ou à exercer une ou plusieurs activités parmi lesquelles figurent : (…) Opérations de paiement ;Emission et gestion de moyen de paiement.Passeport européen sous conditions: Filiale Etablt Crédit.

5. Selon le droit français : • Établissement de crédit :« Les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque  ». PB : Constituent des « opérations de banque » (L. 311-1 CMF) : • La réception de fonds du public • Les opérations de crédit • La mise à la disposition de la clientèle ou la gestion de moyens de paiement • Établissement de monnaie électronique • Entreprise exemptée d’agrément par le CECEI (L. 511-7 CMF) : lorsque les moyens de paiement ne sont acceptés que : - par un nombre limité d’entreprises ;- qui se distinguent clairement par le fait qu’elles se trouvent dans les mêmes locaux ou dans une zone géographique restreinte ;- ou par leur étroite relation financière ou commerciale avec l’établissement émetteur, notamment sous la forme d’un dispositif de commercialisation ou de distribution commun.

6. En pratique quels choix pour les opérateurs de paiement pour mobiles ? • Etablir des partenariats avec les banques • Cadre juridique financièrement et organisationnellement trop contraignant pour les entreprises françaises qui disposent pourtant d’un savoir-faire • Les opérateurs étrangers qui exercent cette activité librement dans leur pays d’origine se plaignent des difficultés rencontrées pour percer le marché français • Subir le droit bancaire français • Essayer de bénéficier d’une exemption d’agrément : Carte prépayée ou «porte-monnaie électronique » utilisés pour obtenir du temps de communication auprès de l’opérateur qui les a émis. • Obtenir le statut d’établissement de monnaie électronique : Carte prépayée utilisée pour acheter des produits et services autres que des communications classiques, proposés par des tiers («négociants») et non par les opérateurs de téléphonie mobile eux-mêmes. (exemple : messageries vocales, sonneries, informations, films vidéo, jeux, services de billetterie…)

7. Pratiquer l’exode légal à l’étranger • Invoquer les traités fondateurs contre les règles nationales • Principes européens : • liberté d’établissement : Mener une activité économique de manière stable et continue dans un ou plusieurs Etats membres. • libre prestation de services : Offrir ses services de manière temporaire dans un autre Etat membre, sans devoir y être établi. • Moyen d’opposition contre les règles nationales : • discriminatoires ou indistinctement applicables aux opérateurs nationaux et étrangers • A condition qu’elles gênent ou rendent moins attrayant l’exercice de cette liberté fondamentale (ex. coûts ou retards supplémentaires). • Mise en oeuvre • La législation nationale l’emporte si les restrictions sont justifiées : • Par des raisons impérieuses d’intérêt général, (ex : raisons d’ordre public, de sécurité publique ou de santé publique, • Et si elles sont proportionnées • Opter pour la libre prestation de services à partir de pays plus favorables

8. Perspectives européennes pour les opérateurs de paiement pour mobiles ? • Présentation générale du SEPA (Single Euro Payment Area) • Coordination entre le secteur Privé et le secteur Public • La proposition de Directive concernant les services de paiement dans le marché intérieur (publiée en décembre 2005, adoptée le 24 Avril 2007 en deuxième lecture au Parlement européen) • Création du statut d’établissement de paiement • 6 Catégories de prestataires de services de paiement (art.1) • Les établissements de crédit • Les établissements de monnaie électronique (…) • Les établissements de paiement :personnes morales qui ont obtenu un agrément les autorisant à fournir et à exécuter des services de paiement dans toute la Communauté • Va permettre à des opérateurs alternatifs de proposer des paiements via téléphone mobile (opérateurs de téléphonie mobile, grande distribution, etc…) ce qui va compléter l’offre du marché voir concurrencer les banques

9. Agrément en qualité d’établissement de paiement • Est subordonné à la soumission, aux autorités compétentes de l’État membre d’origine, d’une demande écrite accompagnée de divers documents… • Obligations relatives aux fonds reçus : • Interdiction de les utiliser pour d’autres activités commerciales • obligation de maintenir les fonds reçus de leurs ≠ activités sur des Comptes séparés • Capital minimum exigé varie en fonction des activités exercées (art.5ter): 20 000 (remise de fonds) à 125 000 euros (émission, services retrait/dépôt d’espèces sur un compte de paiement, crédit…) • Limitation des activités des établissements de paiement : • services de paiement, services opérationnels • services auxiliaires aux services de paiement (services de change, services de conservation, de stockage et de traitement de données…) • octroi de crédits liés aux services de paiement (maxi douze mois).

10. Dispositions dérogatoires • Exonération possible des petits établissements de paiement : volume total des opérations de paiement exécutées ne dépassant pas en moyenne 3 millions d’euros par mois au cours des douze mois précédents. • Exemption possible des instruments utilisés principalement pour le paiement de petits montants: - opérations de paiement particulières n'excédant pas 30 euros - ou qui, soit ont un plafond de dépenses de 150 euros, soit stockent des fonds dont le montant n'excède à aucun moment 150 euros • Mise en place d’un régime transitoire (art.80) : Les États membres autorisent les personnes, y compris les établissements financiers au sens de la directive 2000/12/CE, qui ont commencé à exercer l’activité d’établissement de paiement telle que prévue dans la présente directive, conformément à la législation nationale en vigueur avant la date d’entrée en vigueur de la directive, à poursuivre cette activité dans l’État membre concerné pendant 18 mois au maximum. • Obligation des Etats membres de ne pas adopter, pendant la période transitoire, des dispositions susceptibles de compromettre sérieusement le résultat prescrit par la directive (Arrêt CJCE du 14 Septembre 2006- C-138/05, Rec. p. I-8339-cf. point 48, disp.2)

11. Quels sont les risques juridiques liés au développement du paiement sans contact ? • Utilisation frauduleuse du mobile, qui supporte les risques ? • Quels risques pour les données ? (loi informatique et libertés)

12. Utilisation frauduleuse du mobile, qui supporte les risques ? • La preuve du consentement de l’utilisateur ? Le client présente sa carte ou son mobile devant le lecteur et une animation lumineuse/signal Sonore atteste de la reconnaissance du support. Selon le montant, il peut être invité à saisir un code. • Si l’utilisateur saisit un code secret = identification du porteur • Si l’utilisateur ne saisit pas de code = Pb : Seul le support est identifié • Les dispositions de la DSP concernant le consentement de l’utilisateur • Donné avant ou après l’exécution du paiement, pour une opération ou une série. • Forme du consentement et de la notification choisie par accord entre les parties. Il peut notamment être transmis au moyen de tout dispositif de télécommunication, numérique ou informatique. • L’utilisateur doitsignaler dans les meilleurs délais toute opération non autorisée ou mal exécutée, et au plus tard dans les treize mois suivant la date de débit (art. 47 bis)

13. Les dispositions de la DSP en matière de preuve (art.48) • Si le Payeur nie avoir autorisé une opération, le PSP doit prouver que l’opération a été authentifiée, enregistrée, comptabilisée et n’a pas été affectée par une déficience technique ou tout autre dysfonctionnement => inversion de la charge de la preuve • L'utilisation d'un instrument de paiement, telle qu'enregistrée par le prestataire de services de paiement, ne suffit pas nécessairement en tant que telle à prouver que l'opération de paiement a été autorisée par le donneur d'ordre ou que celui-ci a agi frauduleusement ou n'a pas satisfait, intentionnellement ou à la suite d'une négligence grave • Conséquences sur le partage des risques ? • Recommandation européenne 97/489 • Vol ou perte de l’instrument de paiement : • 150 € avant opposition • complet remboursement après opposition • Exception : négligence extrêmement frauduleuse • Absence de responsabilité du porteur si : • Pas de présentation physique de l’instrument de paiement ou • Pas d’identification électronique

14. Partage de responsabilités selon le projet la directive services de paiement • Pertes liées à l’utilisation d’un instrument de vérification des paiements perdu/volé • Avant notification par le Payé : plafond de 150 € à la charge de l’utilisateur (voire moins selon l’Etat membre) sauf fraude ou négligence grave de l’utilisateur • Après notification par le Payé : à la charge du PSP sauf agissement frauduleux • Si le PSP ne fournit pas à tout moment des moyens de notifier la perte/vol ou le détournement, c’est le PSP qui est responsable • Pertes liées à une Opération de paiement non autorisée • PSP rembourse immédiatement le montant • éventuellement indemnisation financière

15. Quels risques pour les données ? Les Systèmes de paiement sans contact présentent des risques potentiels d’atteinte à la vie privée par la collecte d’informations sur les individus, à leur insu. • Nature de l’opération et des données transmises • La transmission d’informations financières ou d’identification lors de la transaction représente « un traitement de données à caractère personnel » • Selon la CNIL, les Puces RFID sont des identifiants personnels et donc rentrent dans la définition de données à caractère personnel (Avis CNIL- 30 juin 2006) • Application de la loi informatique et libertés • Formalités déclaratives auprès de la CNIL • Obligation d’information des personnes concernées par le traitement, respect de leur droit d’accès, de rectification et d’opposition • Obligations de sécurité et de confidentialité (atteinte au STAD) • Respect de la finalité du traitement et durée de conservation : Le paiement

16. & Questions Réponses Pour en savoir plus : Larcier 2007Me WERY Etienne Cathie-Rosalie JOLY - Avocat au barreau de Paris et Docteur en droit Cabinet ULYS (Paris-Bruxelles), cathierosalie.joly@ulys.net , www.ulys.net