Les Missions

Le Champ de compétence

Le Rapport annuel

Les Membres

Les Textes fondateurs



English version

  

Communiqué de presse (11 juillet 2008)



L’Observatoire de la sécurité des cartes de paiement publie son rapport annuel 2007





L’Observatoire de la sécurité des cartes de paiement a rendu public, ce jour, son cinquième rapport d’activité concernant l’année 2007. Celui-ci est disponible en version électronique sur le site Internet de l’Observatoire www.observatoire-cartes.fr.

L’Observatoire de la sécurité des cartes de paiement est un forum chargé de promouvoir le dialogue et les échanges d’informations entre l’ensemble des acteurs intéressés, en France, par le bon fonctionnement des systèmes de paiement par carte. Il est constitué de deux parlementaires, de représentants des administrations publiques, des émetteurs de cartes et des utilisateurs (commerçants et consommateurs), ainsi que de personnalités qualifiées sélectionnées pour leurs compétences. Créé par la loi sur la sécurité quotidienne de novembre 2001, il a pour mission de suivre les mesures de sécurité adoptées par les émetteurs et les commerçants, d’établir des statistiques de fraude agrégées et d’assurer une veille technologique en matière de cartes de paiement.

Suivi des politiques de sécurité mises en oeuvre par les émetteurs et les accepteurs (voir fiche 1)

Dans le cadre de sa mission de suivi des politiques de sécurité mises en oeuvre par les émetteurs et les accepteurs, l’Observatoire a mené en 2007 deux études.

La première concerne les politiques de sécurité appliquées aux systèmes d’acceptation concentrés, qui sont utilisés par certains commerces. Ces systèmes sont composés d’un ensemble de terminaux ou d’automates de paiement, installés aux caisses du magasin et reliés à un serveur central, qui concentre les données de paiement et effectue la liaison avec les serveurs des acquéreurs. Leur sécurité est essentielle compte tenu de la concentration de données sensibles qui y sont traitées et stockées. L’Observatoire constate que les professionnels concernés sont conscients de ces enjeux. Ils travaillent à l’élaboration de standards destinés à assurer une protection physique et logique des données, et à la bonne application de recommandations sécuritaires d’ordre technique et organisationnel. Très peu de cas de fraude ont été recensés pour ces systèmes en France jusqu’à présent mais, pour garantir leur sécurité, la mise en oeuvre de ces standards doit être généralisée.

L’Observatoire a étudié également les mesures de sécurité appliquées aux nouvelles offres de cartes prépayées, en particulier celles destinées à la clientèle jeune, afin de limiter les risques de fraude, et notamment de protéger les porteurs en cas de vol ou de perte. Selon les émetteurs interrogés, les mesures de sécurité appliquées permettent de limiter l’intérêt que peuvent représenter pour les fraudeurs les différents types de cartes prépayées : les cartes dont la valeur est enregistrée sur le serveur de l’émetteur (« cartes cadeaux », « cartes jeunes ») sont soumises aux mêmes protections que celles en vigueur pour les cartes de type « interbancaire » (comme la saisie du code confidentiel), complétées par des mesures spécifiques telles qu’une autorisation systématique et un plafonnement des montants, qui réduisent les réutilisations possibles en cas de perte ou vol ; les cartes prépayées dont la valeur est enregistrée sur la carte (porte-monnaie électroniques « Moneo ») sont dotées de plafonds maintenus volontairement bas pour ne pas susciter d’intérêt particulier au regard du vol. Ainsi, très peu de cas de fraude ont été relevés sur ces cartes prépayées.

Statistiques de fraude (voir fiche 2)

Pour l’ensemble des cartes de type « interbancaire » ou « privatif », le taux de fraude estimé en 2007 est de 0,062 %, en légère diminution par rapport à 2006, ce qui confirme la baisse constatée depuis 2003. Le montant global de la fraude en 2007 est de 268,5 millions d’euros, et sa progression (+ 6,3 %) est inférieure à celle du montant total des transactions par carte (+ 9,0 %).

La répartition de la fraude par zone géographique reste marquée par un déséquilibre entre les transactions nationales (dont le taux de fraude est de 0,029 %) et les transactions internationales (dont le taux de fraude s’établit à 0,368 % et qui représentent 57 % du montant de la fraude pour seulement 10 % de la valeur des paiements par carte).

Le taux de fraude sur les paiements de proximité et sur automate diminue et s’établit à 0,017 %, du fait du renforcement des mécanismes cryptographiques mis en oeuvre. En contrepartie, la fraude augmente significativement sur les paiements à distance, qui ne requièrent pas de code confidentiel. Le taux de fraude sur ces transactions atteint 0,236 %, pour un montant désormais de 50,1 millions d’euros, cette hausse du montant étant corrélée à la hausse du chiffre d’affaires du secteur (+ 27,9 %). Les paiements à distance, qui représentent 5 % de la valeur des paiements par carte nationaux, comptent ainsi pour 44 % du montant de la fraude. En outre, les travaux conduits avec le Groupement des Cartes Bancaires « CB » et la Fédération du e-commerce et de la vente à distance (Fevad) montrent que le taux de fraude est légèrement plus élevé pour les paiements sur Internet que pour les paiements par courrier et téléphone, et que ce taux varie selon les secteurs d’activité, et même d’un commerçant à l’autre, selon les mécanismes de sécurité mis en oeuvre.

La fraude par contrefaçon diminue (elle représente 5 % de la fraude sur les transactions nationales), ce qui s’explique par le renforcement des mécanismes cryptographiques précités, et la fraude par usurpation de numéro de carte, qui est liée aux paiements à distance, augmente (40 % de la fraude).

Dans ce contexte, l’Observatoire rappelle l’importance du respect des mesures de sécurité pour les paiements à distance, telles que l’utilisation systématique du cryptogramme visuel CVx2. Il appelle également tous les acteurs concernés à mettre en oeuvre des solutions de sécurité interopérables permettant de renforcer l’authentification du porteur de la carte.

Veille technologique en matière de cartes de paiement (voir fiche 3)

Dans le cadre de sa mission de veille technologique, l’Observatoire a mené en 2007 deux études, l’une sur la sécurité des paiements par carte et la standardisation européenne, l’autre sur les nouveaux mécanismes d’initiation du paiement par carte. Ses conclusions et recommandations sont les suivantes :

- l’ouverture européenne des systèmes de paiement par carte suppose une standardisation commune. A cet égard, l’Observatoire rappelle que la définition des standards doit être en adéquation avec l’analyse des risques des paiements par carte en Europe et contribuer à un niveau élevé et homogène de sécurité des matériels et communications. L’Observatoire soutient les travaux destinés à promouvoir une méthodologie commune de certification de la sécurité des cartes et des terminaux, permettant de fonder une reconnaissance mutuelle des certifications. Il souligne également le caractère stratégique de la gouvernance de ces standards pour la sécurité des paiements par carte en Europe et considère que les systèmes européens doivent être acteurs de cette gouvernance ;

- des expérimentations sont actuellement en cours sur de nouveaux modes d’initiation du paiement par carte, tels que la carte sans contact ou le paiement sans contact par téléphone mobile. Avant tout déploiement à grande échelle, l'Observatoire appelle les acteurs concernés à poursuivre les analyses de risque et les études sécuritaires afin de définir des mesures destinées à couvrir les risques spécifiques liés à ces dispositifs. Pour prévenir en particulier l’activation ou le détournement de l’application de paiement à l’insu du porteur, il recommande d’étudier la possibilité de mettre en place des mesures permettant, lorsque cela est nécessaire, de s'assurer du consentement du porteur. Enfin, l’Observatoire recommande que la certification sécuritaire soit réalisée en tenant compte des spécificités des architectures de paiement sans contact par téléphone mobile.

En outre, l’Observatoire a actualisé les indicateurs dont il dispose pour suivre l’état d’avancement de la migration aux spécifications EMV en Europe. Cette mise en oeuvre représente en effet un enjeu majeur dans la lutte contre la fraude transfrontalière. Les chiffres recueillis montrent que la migration progresse partout en Europe. L’Observatoire s’inquiète cependant de la persistance de retards de certains pays, ce qui est susceptible de laisser perdurer une fraude transfrontalière européenne significative.

Impact de la directive sur les services de paiement sur les règles applicables aux paiements par carte en France (voir fiche 4)

Dans le prolongement de l’étude menée en 2005 sur la sécurité des cartes dans le cadre de l’harmonisation européenne, l’Observatoire a souhaité mesurer les changements que la directive du 13 novembre 2007 sur les services de paiement apportera par rapport aux règles actuellement applicables aux paiements par carte en France.

Comme le droit français actuel, la directive couvre l’ensemble des activités d’émission et de gestion des cartes de paiement. Afin de favoriser la concurrence, elle ouvre le marché des services de paiement à de nouveaux acteurs, les « établissements de paiement », qui pourront s’y engager aux côtés des établissements de crédit, en étant soumis à des obligations statutaires allégées.

La directive introduit une approche nouvelle de la réglementation applicable aux paiements. Sa transposition conduira à un cadre législatif et réglementaire renforcé, alors que les paiements étaient jusqu’à présent principalement régis par des règles professionnelles. Fondée sur une approche globale et technologiquement neutre, elle établit un socle de règles communes à l’ensemble des services de paiement en Europe.

La directive harmonise les obligations d’information des prestataires de services de paiement vis-à-vis de leurs clients, en recensant les informations devant figurer dans les contrats et en encadrant les modalités de modification et de résiliation des contrats, afin d’assurer une meilleure protection des clients. Elle introduit également une possibilité de différencier la facturation en fonction du moyen de paiement utilisé, qui pourra cependant être encadrée lors de la transposition.

Enfin, la directive confirme le principe général de l’irrévocabilité des paiements, principe fondamental du paiement par carte aujourd’hui inscrit dans la loi, mais prévoit qu’il puisse y être dérogé contractuellement. Parallèlement, les possibilités de contestation sont fortement élargies, avec un délai de contestation des opérations non autorisées étendu à 13 mois et une possibilité de contestation des opérations ayant fait l’objet d’une autorisation générale sans indication du montant de l’opération, dans un délai de 8 semaines.

La transposition de la directive va donc sensiblement modifier les règles actuellement applicables aux paiements par carte en France.