D’un point de vue légal, à quoi la PME doit-elle être attentive lorsqu’elle permet à ses clients de payer en ligne ? Digital Wallonia fait le point sur la question en collaboration avec le CRIDS.
Diversité des moyens de paiement
Lorsqu’une entreprise décide de se lancer dans le commerce en ligne, à travers un site internet ou une application mobile, elle veillera généralement à inclure un module de paiement électronique.
De nombreux moyens de paiement sont disponibles. Outre le procédé classique de la carte de crédit (ou, plus rarement, la carte de débit), les clients peuvent, par exemple, utiliser PayPal (ou d’autres services similaires) ou payer au moyen de leur application « mobile banking » disponible sur leur téléphone portable (en scannant un QR code affiché sur le site du marchand et en validant l’opération en s’authentifiant dans l’application « mobile banking » choisie). Par ailleurs, le virement bancaire « classique » reste possible sur certains sites de vente en ligne. Ces moyens ont des avantages et des inconvénients que la PME doit soigneusement soupeser avant de faire son choix : niveau de sécurité, coût, simplicité d’utilisation, taux de pénétration sur le marché, paiement direct ou différé, etc.
L’utilisation des instruments de paiement décrits ci-dessus exige l’intervention de nombreux prestataires fournissant des services de nature financière et/ou technique. Chacun d’eux joue un rôle indispensable au fonctionnement du « système de paiement ».
En matière de paiement par carte de crédit, par exemple, figurent respectivement aux côtés du payeur (le client titulaire de la carte) et du bénéficiaire (le marchand qui vend en ligne), des prestataires de services de paiement, appelés « émetteur » (« Issuer » - généralement la banque du payeur, dont le logo figure sur la carte) et « acquéreur » (« Acquirer » - le prestataire qui lui fournit le terminal de paiement ou le module de paiement pour son site internet). A ceux-ci peuvent également s’ajouter des prestataires qui fournissent le schéma de paiement (« Payment Scheme » – Mastercard ou VISA, par exemple, dont le logo est également sur la carte) en tant que tel, garantissant l’échange des données de transaction entre les différents intervenants et le respect de « règles du jeu » préalablement fixées (en matière d’authentification des opérations de paiement, par exemple).
Cadre juridique en matière de paiement électronique, en évolution constante
La matière des paiements électroniques est couverte par de nombreuses dispositions légales ou réglementaires ressortissant principalement au droit des obligations (relation contractuelle entre le prestataire de services de paiement et le payeur ou le bénéficiaire, partage de responsabilité en cas d’opération de paiement non-autorisée, etc.) ou au droit bancaire et financier (conditions et formalités à remplir pour exercer l’activité de prestataire de service de paiement, émission de monnaie électronique, etc.).
De nombreuses règles figurent dans le livre VII du Code de droit économique ou dans certaines lois particulières.
Ce cadre normatif est en train d’évoluer. Des réformes sont en effet en cours en vue de transposer une directive européenne n° 2015/2366 sur les services de paiement. Certaines dispositions ont été transposées dans une loi du 11 mars 2018 relative au statut et au contrôle des établissements de paiement et des établissements de monnaie électronique, à l'accès à l'activité de prestataire de services de paiement et à l'activité d'émission de monnaie électronique, et à l'accès aux systèmes de paiement. Une autre loi est en préparation pour transposer les autres dispositions de la directive relatives, notamment, aux droits et obligations des payeurs (notamment consommateurs) et des bénéficiaires de services de paiement (les marchands).
La PME qui vend en ligne doit-elle fournir une information spécifique sur les moyens de paiement ?
Lorsqu’un contrat est conclu à distance et par voie électronique entre une entreprise et un consommateur, diverses exigences doivent être respectées par l’entreprise (obligation d’information renforcée, interdiction de certains paiements, octroi d’un droit de rétractation, etc.). Elles figurent notamment dans le livre VI du Code de droit économique. Certaines obligations d’information portent sur les moyens de paiement.
L’entreprise doit en effet indiquer sur le site de commerce en ligne, au plus tard au début du processus de commande, les moyens de paiements acceptés (clairement et lisiblement).
Le PME peut-elle imputer des frais spécifiques au consommateur pour l’utilisation de certains moyens de paiement ?
La PME devra payer des frais pour accepter certains moyens de paiement utilisés par ses clients. Aussi peut-elle être tentée de les répercuter sur ce dernier, moyennant une surfacturation de l’achat (surtout s’il est de faible montant).
A cet égard, le Code de droit économique interdit à l’entreprise de facturer au consommateur des frais supérieurs à ceux qu’elle doit supporter pour l’utilisation des moyens de paiement mis à la disposition du consommateur (article VI.42).
La DSP II – et la loi belge, lorsqu’elle sera adoptée – va plus loin. En principe, elle interdit en effet aux marchands de facturer des frais supplémentaires au consommateur pour la seule raison qu’il a payé par carte de crédit ou par carte de débit, dans un magasin traditionnel ou sur un site de commerce en ligne.
Qui doit supporter les conséquences financières d’une opération de paiement non-autorisée ?
Lorsqu’un client paie un achat en ligne avec une carte de crédit volée, la question se pose de savoir qui devra supporter les conséquences de cette opération de paiement non-autorisée (par le titulaire de la carte). On part du principe que le voleur n’a pas été identifié.
Le livre VII règle le partage de responsabilité entre le payeur (le titulaire légitime de la carte) et le prestataire de services de paiement (sa banque, qui a émis la carte). Normalement, la perte du payeur est limitée à 150 EUR (50 EUR suivant la DSP II), sauf fraude de sa part ou négligence grave (auquel cas il doit supporter la totalité de la perte). Une exception existe cependant lorsque l’instrument a été utilisé sans présentation physique et sans identification électronique. On vise par exemple le paiement effectué en communiquant uniquement le numéro de la carte de crédit, sa date d’expiration et le code de sécurité figurant au verso). Dans ce cas, le payeur ne doit supporter aucune perte, sauf fraude de sa part (il sera donc remboursé intégralement par sa banque).
La loi actuelle ne règle pas les conséquences éventuelles de cette opération de paiement non-autorisée dans le chef du marchand, bénéficiaire du paiement. Cette question est généralement réglée conventionnellement, dans l’intérêt du prestataire de services de paiement. Plus précisément, celui-ci va généralement réclamer au marchand le montant remboursé au consommateur. La pratique est validée par la jurisprudence, qui juge que le commerçant doit connaître les risques des transactions par internet. Aussi est-il recommandé de mettre en place des procédures spécifiques de manière à réduire ces risques (par exemple, exiger des garanties supplémentaires pour des achats portant sur des montants importants).
Le régime fait l’objet de diverses modifications par la DSP II. Elle prévoit notamment qu’en l’absence d’authentification forte du client, aucune perte financière ne peut être attribuée au payeur, sauf fraude de sa part. Elle ajoute que si le marchand – bénéficiaire de services de paiement – n’accepte pas une telle authentification forte, c’est lui qui devra rembourser le préjudice financier causé au prestataire de services de paiement du payeur.