Le paiement cashless est un moyen de paiement dématérialisé très facile d’utilisation qui connait un essor fulgurant.
Popularisé à l’occasion de festivals ou de concerts, le paiement cashless peut se matérialiser sous différentes formes ayant toutes pour vocation la limitation de la circulation d’argent.
Ainsi, l’utilisateur se dote d’une bague ou d’un bracelet spécifiquement conçu pour pouvoir communiquer avec des terminaux adaptés, et ce au sein d’un périmètre bien défini.
Comment fonctionne le paiement cashless ?
La puce utilisée dans le cadre du paiement cashless est une puce NFC (near field communication) permettant au terminal de paiement et au bracelet, tous deux dotés de puce NFC, de communiquer entre eux.
Il s’agit d’un dérivé des puces RFID, qui se distingue de ces dernières en ce que la puce NFC :
- a une plus courte distance d’action ;
- utilise des vitesses faibles de transmission.
Les deux équipements dotés de puce NFC peuvent fonctionner selon trois modes opérationnels distincts :
- soit de pair-à-pair afin de transférer des fichiers entre deux smartphones par exemple ;
- soit en lecture-écriture, le smartphone se transforme en lecteur NFC pour lire les étiquettes électroniques ou tags diffusant des informations ;
- et enfin soit en émulation de carte, comme dans le cadre d’un paiement cashless.
Comment utiliser le paiement cashless ?
Au préalable, l’utilisateur peut recharger son bracelet ou sa bague de deux manières :
- le moyen de paiement est relié à un compte par une carte à puce. Le titulaire du moyen de paiement sans contact peut recharger son compte sur le site web ou l’application dédiée ;
- le titulaire du moyen de paiement ne dispose pas d’un compte et va alors procéder au rechargement sur les lieux de l’événement, auprès d’une banque identifiée cashless, en contrepartie d’espèces.
Quels sont les risques en matière de protection des données à caractère personnel ?
L’usage de ce type de technologie soulève d’importantes problématiques en matière de protection des données à caractère personnel.
Ainsi, dans l’hypothèse où le contenu de la puce n’est pas chiffré, toute personne peut, dès lors qu’elle dispose d’un appareil adéquat, lire le contenu de la puce. Or, les puces contiennent des données à caractère personnel, permettant d’identifier directement ou indirectement, le porteur de la carte.
Les puces NFC peuvent contenir de nombreuses informations non chiffrées comme le nom, le prénom du porteur, le numéro de la carte et la date d’échéance ainsi que les dernières transactions effectuées.
Une étude réalisée en 2003 par la Commission nationale de l’informatique et des libertés (Cnil) (1) identifie « quatre pièges qui concourent à minorer le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée », à savoir :
- l’insignifiance apparente des informations contenues dans les puces ;
- le fait que les puces paraissent plutôt rattachées aux objets qu’aux personnes ;
- la normalisation technologique basée sur le concept américain de « privacy », sans prise en compte des principes européens de protection de la vie privée ;
- le risque de « non-vigilance » individuelle, la présence et l’activation de la puce étant invisibles.
La Commission européenne s’était intéressée à ces problématiques en 2006 et avait lancé une consultation publique sur la manière de concilier le développement de la technologie RFID et la protection des données à caractère personnel et de la vie privé.
Identifiant les risques que pouvaient impliquer la RFID, la Commission a considéré que seule « une approche spécifique à chaque application RFID peut s’avérer efficace […], car chaque application comporte ses propres risques et avantages ».
Pour la Commission en effet, « les puces RFID peuvent être considérées comme un moyen d’espionner les consommateurs. Il faut donc prendre des mesures pour garantir que cette technologie respecte la vie privée. Un emblème RFID sur les produits serait une première étape garantissant la transparence de l’industrie ».
Ces mesures ont été prises par une grande majorité des acteurs du secteur bancaire, cependant, on peut déplorer le fait que l’utilisateur ne soit pas informé des risques qu’engendre ce type de services.
L’existence de pratiques abusives
Il a été constaté à l’occasion de diverses manifestations que l’utilisation du paiement cashless pouvait constituer une pratique abusive.
Ainsi, les organisateurs s’affranchiraient de la législation applicable en interdisant le paiement en espèce au profit du paiement cashless.
Pourtant la loi est claire en la matière puisqu’est puni d’une contravention de deuxième classe « le fait de refuser de recevoir des pièces de monnaie ou des billets de banque ayant cours légal en France » (2).
Par conséquent, en interdisant le paiement en espèces, les organisateurs s’exposent au paiement d’amende d’un montant maximum de 1500 euros.
En outre, le paiement cashless nécessite l’acquisition d’une carte de paiement qui exige le paiement de la somme de 1 euro. Autrement dit, le paiement en espèces est taxé par rapport à un paiement direct par carte bancaire auprès du vendeur.
Or, il est interdit d’appliquer des frais pour l’utilisation d’un instrument de paiement, comme le précise l’article L. 112-12 du code monétaire et financier. La Banque de France le confirme : ces pratiques sont bien « des infractions » passibles d’une contravention de seconde classe.
Les organisateurs de ce type d’évènements passent donc outre le cadre légal et règlementaire existant.
Enfin, il semble que ces moyens de paiement disposent d’une durée de validité limitée dans le temps extrêmement réduite. Cette caractéristique ne pose pas en soi de problème.
ependant, il semble nécessaire de prévoir des modalités simples pour les consommateurs de récupérer l’argent restant sur ce compte rechargé de façon éphémère au risque de perdre la totalité des sommes non dépensées.
Avec l’application du règlement européen (3) à partir du 4 mai 2018, la protection des données à caractère personnel devient un défi majeur sur le territoire de l’Union européenne. Dès lors les éditeurs de solutions de paiement devront concevoir leurs nouvelles solutions à l’aune des principes du règlement européen, notamment en veillant au respect du principe de privacy by design ou de security by design.
Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms
(1) Communication de M. Philippe Lemoine relative à la radio-identification du 30-10-2003
(2) C. pén., art. R.642-3
(3) Règlement UE 2016-679 du 27-04-2016