Mise en oeuvre du paiement sans contact

Question de M. MAZUIR Rachel (Ain - SOC) publiée le 24/06/2010

M. Rachel Mazuir attire l'attention de M. le secrétaire d'État chargé du commerce, de l'artisanat, des petites et moyennes entreprises, du tourisme, des services et de la consommation sur les modalités de mise en oeuvre du paiement sans contact.
Cette nouvelle technique, récemment déployée à Nice, vise à réaliser de menus achats (moins de vingt euros) par le biais de son téléphone portable ou de sa carte bancaire passée à quelques centimètres d'un terminal de paiement, sans qu'il soit besoin de saisir un code confidentiel.
Pour en vanter les mérites, les partenaires impliqués dans ce processus (banques, opérateurs en téléphonie, commerçants) disent avoir tiré les leçons de l'échec de Monéo, le porte-monnaie électronique rechargeable.
Pour autant, il lui semble nécessaire d'encadrer l'utilisation de ce nouveau moyen de paiement.
Notamment, il souhaite connaître quelles garanties seront offertes aux clients en cas de perte ou de vol de leur téléphone portable ou de leur carte bancaire, par le biais desquels une transaction sera à l'avenir possible sans saisie préalable de code secret.

Publiée dans le JO Sénat du 24/06/2010 - page 1577

Transmise au Ministère de l'économie, de l'industrie et de l'emploi

Réponse du Ministère de l'économie, de l'industrie et de l'emploi publiée le 16/09/2010

Déjà largement déployés dans certains pays, notamment au Japon, les paiements utilisant des technologies sans contact ne faisaient l'objet, jusqu'en 2007, que de projets pilotes en France. Le lancement du projet « payez mobile », en mai 2010, dans la ville de Nice, constitue un test grandeur nature pour le développement futur de la technologie sans contact sur carte et mobile. Ce projet regroupe les principaux opérateurs de téléphonie mobile, les banques, les prestataires techniques, les collectivités locales et les entreprises. Ces initiatives sont largement encadrées par les pouvoirs publics, qui ont un souci, toujours plus accru, de pourvoir à la sécurité de ces nouveaux modes de paiement. Aussi, avant tout déploiement de masse sur le territoire français, ces expérimentations doivent affiner leurs spécifications techniques en matière de sécurité. Les modes de paiement sans contact reposent sur l'utilisation d'une carte et d'un téléphone mobile. Dans les deux cas, ces éléments communiquent avec les terminaux de paiement à l'aide d'une antenne permettant d'émettre des communications. La dispense de saisie du code confidentiel par l'utilisateur n'est pas systématique. Dans le cas de paiements par carte sans contact, la puce contient toutes les informations relatives aux conditions d'utilisation du code confidentiel et peut prévoir que le code n'est pas nécessaire au-dessous d'un certain montant (30 €) ou d'un nombre de transaction prédéfini. De la même manière, dans le cas des paiements par téléphone mobile, l'application de paiement intégrée dans la carte SIM gère les seuils de transactions dont l'atteinte impose la saisie d'un code personnel. À tout moment, l'utilisateur peut décider de rendre la saisie du code systématique, quel que soit le montant de l'achat. Des mesures sont cependant prévues pour offrir des garanties suffisantes aux clients qui n'utiliseraient pas l'authentification par code confidentiel : pour éviter le risque de capture des informations échangées lors du paiement et leur utilisation à des fins frauduleuses (informations concernant le numéro de la carte ou le montant de la transaction), une sécurisation de la connexion est possible grâce au déclenchement d'un dispositif de sécurité à chaque transaction. Par ailleurs, les terminaux de paiement étant identiques à ceux utilisés pour les paiements classiques avec contact, les mêmes mécanismes de protection pourront être utilisés ; pour limiter les risques d'activation de l'application de paiement à l'insu du porteur de carte, des contraintes techniques sont mises enplace. Elles sont très variées : utilisation d'étuis protecteurs visant à bloquer les ondes radio ; remise à zéro des compteurs de transactions par saisie d'un code personnel ; mise en place de signatures dématérialisées permettant de différencier l'application de paiement des autres applications sur le mobile et de détecter les éventuelles utilisations frauduleuses ; filtrage des communications afin d'isoler les communications destinées à l'application de paiement. Par ailleurs, la limitation de la distance entre le support sans contact et le terminal réduit la possibilité d'activer la carte ou le mobile de manière frauduleuse ; en cas de vol du support sans contact, l'existence de seuils de montants maximaux pouvant être payés sans contact permet de limiter le préjudice financier en cas de fraude. En outre, la mise en opposition de la carte sans contact ou de l'application de paiement du mobile fait cesser toute utilisation frauduleuse, comme dans les cas classiques d'usurpation de carte ou de mobile. Ces mesures de protection des utilisateurs sont suivies de près par l'Observatoire de la sécurité des cartes de paiement, qui exerce une veille technologique sur ces différentes solutions de paiement. À ce titre, il formule des recommandations en faveur de solutions simples permettant de sécuriser ces nouveaux modes de paiement, grâce à la participation de tous les acteurs concernés par les opérations liées au paiement sans contact.

Publiée dans le JO Sénat du 16/09/2010 - page 2422