Carte bancaire sans contact : le paiement à distance !

Comment désactiver la fonction NFC de votre carte bancaire ?

Nancy, le 15/06/2014

Nous avons reçu de la BNP PARIBAS plusieurs informations intéressantes relative au fonctionnent de ces cartes que nous reproduisons ci-dessous : L’aspect juridique : Le contrat carte bancaire a été modifié pour intégrer cette nouvelle technologie.
Nous reproduisons des extraits des articles 1-1-1 et 6-2 ci-dessous :

Article 1-1-1 : Les cartes disposant de la technologie “sans contact” permettent en outre de régler rapidement des achats de biens ou de prestations de services aux Équipements électroniques “CB” équipés en conséquence, avec une lecture à distance de la carte “CB”, sans frappe du code confidentiel.

Article 6-2 : Ces opérations de paiement sont possibles dans les limites fixées et notifiées par BNP Paribas dans les conditions particulières ou dans tout document approuvé par le Titulaire de la carte “CB” et/ou du compte sur lequel fonctionne la carte “CB”. À des fins sécuritaires, le montant unitaire maximum de chaque opération de paiement en mode “sans contact” et le montant cumulé maximum des règlements successifs en mode “sans contact” sont limités (cf. montants indiqués aux Conditions particulières du contrat Carte). En conséquence, au-delà de ce montant cumulé maximum, une opération de paiement avec frappe du code confidentiel doit être effectuée par le Titulaire de la carte “CB” pour continuer à l’utiliser en mode “sans contact” et réinitialiser le montant cumulé maximum possible. En toutes circonstances, le Titulaire de la carte “CB” doit se conformer aux instructions qui apparaissent sur l’Équipement électronique situé chez l’Accepteur“CB”.

Selon les informations communiquées, cette modification est signifiée au moment du renouvellement de la carte.

Nous reproduisons les conditions générales in-extenso : Les Conditions Générales de la carte bancaire

Le fonctionnement : Plusieurs autres informations sont communiquées aux clients selon des documents que nous mettons en ligne ci-dessous :

• Le sticker : Le sticker
• La plaquette d’explication : La plaquette de présentation

Il reste deux points importants à préciser : la BNP PARIBAS s’engage à remplacer gratuitement une carte contenant la puce sans contact par une carte sans. Pour finir, Vous n’êtes pas obligés d’accepter ce mode de paiement. Le commerçant devrait normalement vous demander votre accord.

Reste la sécurité de la carte. Ce point sera toujours un souci car les hackers ont toujours “un train d’avance”… Ils tentent de trouver une faille. Depuis notre article de juin 2012, la situation s’est améliorée selon le communiqué de la CNIL. Il est à noter que la banque remboursera les opérations contestées.

Nancy, le 30/05/2014

Nous vous communiquons un dossier adressé par un de nos adhérents. Obtenir une carte bancaire sans la fonction paiement à distance est possible !

• Puce NFC : la première lettre de la banque en 2012
• Puce NFC : le courrier de notre adhérent en 2012
• Puce NFC : la lettre de la banque en 2014
• Puce NFC : la lettre de notre adhérent en 2014
• Puce NFC : la réponse de la banque.

Nancy, le 14/05/2014

Nous vous communiquons l’avis de la CNIL sur ce mode de paiement. Les demandes sont intéressantes :

Sécurité des cartes bancaires sans contact : quelles sont les avancées et les améliorations possibles ?

Il reste à garder à l’esprit que nous pouvons refuser cette fonctionnalité. La banque a alors l’obligation de vous en délivrer une nouvelle sans puce NFC gratuitement… Un article publié le 4 mars 2014 sur le site planète.fr est intéressant :

Paiement sans contact : “N’importe qui peut lire votre carte bancaire avec un portable”

Cet article du site rue89 est également intéressant :

Payer par carte mais sans code : le « sans contact », pas sans risque

Nancy, le 09/05/2014

Cette page du site est la plus consultée depuis 18 mois. L’information a du mal à circuler dans les circuits bancaires… Nous vous tiendrons informés des nouveautés.

Nancy, le 20/08/2012

Suite à la découverte de la présence de la puce NFC dans les cartes bancaires, nous avons obtenu une réponse de la Banque Puplaire que nous mettons en ligne. Il semble que le dispositif mis en place soit de nature à permettre l’utilisation de ce nouvel instrument.

Nous verrons à l’usage au vu des litiges que nous aurons à gérer :  Les informations de la Banque Populaire

Nancy, le 3 juillet 2012

Carte bancaire avec puce NFC : Comment la découvrir ! Un de nos adhérents ayant renouvelé sa carte bancaire en mai 2012 nous a montré sa carte aux fins de vérifications. Vous n’êtes pas sensés connaitre le symbole du WIFI. Vous trouverez dans le lien ci-dessous une carte équipée de la puce NFC et la représentation du WIFI :

carte bancaire avec puce NFC ( WIFI ) : un exemple

Sur la carte bancaire reproduite, à côté de la puce classique qui est sur toutes les cartes, vous verrez le même symbole ou presque ! La carte bancaire est devenue trop courante. Lors du renouvellement, on prend le carton et on le met dans le portefeuille sans trop regarder ce qu’il y a dessus…

Dans le cas de notre adhérent, ce petit signe discret n’avait pas particulièrement attiré son attention… Au vu de la situation, il a demandé l’échange de la carte. La banque a accepté sans problème et sans frais. Il parait qu’il existe un programme qui permet d’avoir une carte sans le WIFI… Il semble que la Caisse d’Epargne n’ait pas tant innové que cela… Nous avons également découvert que le Crédit Mutuel Nord Europe s’y était mis aussi !

Toutefois, à la différence de la Caisse d’Epargne qui avertit ses clients, les deux autres établissements bancaires ont semble-t-il oublié de prévenir… Tous à vos cartes !

Nancy, le 24 juin 2012

Après l’avatar MONEO qui s’est révélé un flop total, la Caisse d’Epargne propose maintenant avec la carte bancaire venant à renouvellement le paiement à distance de petites sommes sans frappe de code à l’aide de la technologie NFC. Nous sommes plus que réservés sur cette novation.

LES FAITS :

Ce nouveau service est gratuit pour tout paiement inférieur à 20 € et peut attendre 80 € avant de renouveler une autorisation.
Nous publions  le courrier de la banque : Le paiement sans contact – Le courrier et Les conditions générales.

Les conditions générales prévoient que les clients de bonne foi peuvent contester les débits dans les délais prévus par le contrat de la carte…

L’ANALYSE JURIDIQUE :

1) Le cadre général de la relation contractuelle :

Cette nouveauté ne sort pas du néant… La législation en la matière est importante.
L’article L312-1-1 du Code Monétaire et Financier née le la loi MURCEF publiée en 2001( Mesures Urgentes à Caractère Economique et Financier ) prévoit en son dernier paragraphe les dispositions suivantes :

« Lorsque l’établissement de crédit est amené à proposer à son client de nouvelles prestations de services de paiement dont il n’était pas fait mention dans la convention de compte de dépôt, les informations relatives à ces nouvelles prestations font l’objet d’un contrat-cadre de services de paiement régi par les dispositions des sections 2 à 4 du chapitre IV du présent titre relatives au contrat-cadre de services de paiement ou d’une modification de la convention de compte de dépôt dans les conditions mentionnées au II du présent article. »

Le II précise les points suivants :

« II.-Tout projet de modification de la convention de compte de dépôt est communiqué sur support papier ou sur un autre support durable au client au plus tard deux mois avant la date d’application envisagée. Selon les modalités prévues dans la convention de compte de dépôt, l’établissement de crédit informe le client qu’il est réputé avoir accepté la modification s’il ne lui a pas notifié, avant la date d’entrée en vigueur proposée de cette modification, qu’il ne l’acceptait pas ; dans ce cas, l’établissement de crédit précise également que, si le client refuse la modification proposée, il peut résilier la convention de compte de dépôt sans frais, avant la date d’entrée en vigueur proposée de la modification. »

Cette obligation d’informer s’impose aussi pour tous les contrats bancaires y compris la convention de compte et les plaquettes des tarifs bancaires qu’il est ainsi possible de contester en cas d’abus manifeste.

2) Le fonctionnement juridique de ce moyen de paiement :

Il est reproduit dans le lien ci-dessous l’article L133-28 : Article L. 133-28

Il prévoit les dispositions suivantes :

I. ― Un décret définit les montants maximaux de paiement, de dépenses ou de stockage des fonds en dessous desquels les instruments de paiement conçus pour garantir le respect de ces seuils, sont considérés comme réservés aux paiements de faibles montants. Celui-ci est paru le 29 juillet 2009 sous le numéro 2009-934.
Il prévoit les seuils suivants maximum pour être considéré de faibles montants. Il est reproduit intégralement dans le lien ci-dessous :

Le décret 2009-934 du 29 juillet 2009

La partie qui nous intéresse est la section 11 qui prévoit

« Art. D. 133-7.-Un instrument de paiement est considéré comme réservé à des paiements de faibles montants lorsque la convention de compte de dépôt ou le contrat-cadre de services de paiement relatif à cet instrument précise :

« ― qu’il permet de réaliser exclusivement des opérations de paiement ne dépassant pas unitairement 30 euros ;

« ― ou qu’il a une limite de dépenses de 150 euros ;

« ― ou qu’il ne permet pas de stocker plus de 150 euros. »

Toutefois, le législateur a introduit des réserves quant aux éventuels dysfonctionnements et a introduit des limitations particulièrement ennuyeuses pour les utilisateurs en cas de contestation. Il faut donc attentivement lire l’avenant du contrat carte bancaire avant d’accepter celui-ci….

Le II de l’article L. 133-28 du même code prévoit notamment Les disposition suivantes :

II. ― Pour les instruments mentionnés au I, le prestataire de services de paiement peut convenir avec le payeur que :

1° Le payeur ne pourra pas révoquer l’ordre de paiement après l’avoir transmis ou après avoir donné son consentement à l’exécution de l’opération de paiement au bénéficiaire ;

Le 2° et le 3° concernent les bénéficiaires et ne sont pas donc pas commentés dans cet article.

Les 4° et 5° de cet article contiennent des dispositions très ennuyeuses… Elles portent sur des mesures exonérant les banques d’un certain nombre d’obligations imposées sur ce type de moyen de paiement. La carte bancaire permettant le paiement à distance n’est absolument pas sécurisée juridiquement car :

La banque n’est pas tenue de rembourser en cas de contestation ( article L. 133-18 ), que sa responsabilité n’est pas engagée en cas d’utilisation douteuse (I, II et IV de l’article L. 133-19 et l’article L. 133-23 ).

En outre, l’obligation d’informer prévue par l’article L. 133-17 n’est pas obligatoire ! Elle reste à la discrétion de la banque… Le texte légal est vaste ! Il exclut la protection prévue par les II et III de l’article L. 133-15 ( absence d’information et blocage du compte ) , l’article L. 133-17 (opposition en cas de redressement ou liquidation judiciaire ), le III de l’article L. 133-19 et l’article L. 133-20 ( le payeur peut supporter les conséquences financières ! ) peuvent ne pas s’appliquer aux instruments mentionnés au I pour lesquels le prestataire de services de paiement n’a pas la capacité de bloquer le compte ou l’instrument de paiement ;

Pour synthétiser, la banque peut n’avoir aucune obligation si elle estime que c’est frauduleux. Elle peut en outre être déchargée d’un grand nombre d’obligations nées de graves dysfonctionnements ayant imposées des mesures protectrices. Vous trouverez ci-dessous les différents articles cités dans cette partie de ce dossier spécial qui permettent d’appréhender la situation.

• Articles L. 133-15 à L. 133-17
• Article L. 133-18
• Articles L. 133-19 et L. 133-20
• Articles L. 133-23 et L. 133-24

LES RECHERCHES DE L’UFC QUE CHOISIR DE NANCY

Reste le problème de la sécurité réelle qu’offre ce nouveau moyen de paiement. Il est indiqué que ce système est sécurisé. La recherche sur google donne des informations moins rassurantes. Pour avoir une idée des problèmes que peut poser cette fonction, nous publions deux articles parus sur Internet : les sites www.securityvibes et korben.info publient des articles peu rassurants :

• Détection des cookies non sécurisés avec l’analyse d’applications Web Qualys
• L’incroyable FAIL des cartes bancaires sans contact (NFC)

Le lien explique clairement la situation : http://www.knowckers.org/2012/05/la-carte-bancaire-sans-contact-n%E2%80%99est-pas-securisee/
Il est fait allusion dans cet article d’un communiqué de presse de la Fédération Française des Télécoms. Nous le publions in extenso car toutes les informations sur un sujet aussi sensible sont importantes.

Le communiqué de la FFT ( Fédération Français des Télécoms )

Nous sommes preneurs de toute information complémentaire qui enrichirait cette partie de notre dossier.

LES SUITES

1) Notre demande :

Nous vous demandons de nous communiquer tous témoignages ou informations sur l’utilisation de ce mode de paiement, que ceux-ci soient positifs ou négatifs. Il s’agit d’un produit nouveau qui n’est pas encore générateur de litiges. Cela nous permettra de connaitre le fonctionnement réel de ce service.

2) Comment gérer ce nouveau type de produit :

La consultation de la page sur le site de la caisse d’Epargne publié dans le lien a permis de constater la présence d’un petit paragraphe en fin qui dit : La page du site de la Caisse d’Epargne

Nous reprenons la partie qui nous a paru la plus importante ( elle est curieusement en tous petits caractères à la fin de la page… )

“Même si votre carte est équipée de la fonction « paiement sans contact », vous n’avez aucune obligation d’utiliser le service. Si vous ne souhaitez pas activer cette fonctionnalité, vous pouvez également le signaler à votre conseiller avant le renouvellement de votre carte bancaire.”

Elle a limité le temps de contestation à celle indiquée sur le contrat carte bancaire que nous vous conseillons de relire.
Si vous ne l’avez pas ou que vous l’avez perdu, nous vous conseillons de le demander à votre agence qui doit vous le donner sans discussion.

3) Si vous constatez la présence du symbole WIFI sur votre carte,

Nous vous demandons de nous informer par mail en nous indiquant le nom de la banque, la date de renouvellement et si cela vous convient, un fichier contenant une photo scannée de cette carte rendue anonyme. A priori, toutes les cartes auront le même symbole mais on ne sait jamais…

Dans l’immédiat, nous ne pensons pas que cette nouvelle fonction présente un grand intérêt. Nous vous conseillons donc d’envoyer un courrier à la banque indiquant que vous refusez cette fonction. En cas d’utilisation frauduleuse, prévenez nous le plus rapidement possible.

CONCLUSION

Nous constatons et déplorons que la dématérialisation de l’argent continue… 80 € constitue une belle somme pour nombre de budgets… Mais au delà de cet aspect, nous devons très régulièrement traité des litiges nés d’opérations contestées sur un laps de temps long (de une à plusieurs années) par des consommateurs n’ayant pas eu le temps de vérifier leurs extraits de compte ou empêchés de le faire…

Il est à noter que la CNIL a lancé, selon communiqué en date du 10 mai 2012, une expertise.

Nous publions celui-ci : Sécurité des cartes bancaires sans contact : expertise en cours

Nous vous conseillons donc de refuser cette possibilité.