Professional Documents
Culture Documents
DCEMBRE 2000
INTERNET,
COMMISSION BANCAIRE
SECRTARIAT GNRAL
INTERNET
QUELLES CONSQUENCES
PRUDENTIELLES
SOMMAIRE
AVANT-PROPOS ............................................................................................. 9
RECOMMANDATIONS DU LIVRE BLANC .............................................. 15
1.
2.
3.
RSUM ............................................................................................................................ 17
1.
2.
La scurit ............................................................................................................. 19
2.1. Les risques oprationnels lis la scurit des systmes dinformation doivent tre valus et
matriss par les tablissements de crdit et les prestataires de services dinvestissement .................... 20
2.2. La matrise du risque de rputation, qui peut se propager lensemble de la communaut financire,
plaiderait en faveur de la mise en place dun rfrentiel de scurit qui serve de fondement une
certification, voire une labellisation des sites web financiers .............................................................. 22
3.
INTRODUCTION ............................................................................................................. 25
1.1. Internet et lexigence dune autorisation pour exercer des activits bancaires et financires ................ 29
1.2. Une nouvelle donne pour loffre de services bancaires et financiers ...................................................... 31
2.
3.
4.1. Les services classiquement rendus dans une relation physique sont ou seront en ligne ......................... 72
4.2. Les risques financiers sont de mme nature ........................................................................................... 72
5.
6.
8.
8.1.
8.2.
8.3.
8.4.
9.
9.1. Les exigences relatives au contrle de la capacit du prestataire matriser son site web et son activit .... 133
9.2. Recommandations, en matire de contrle interne, sur ltablissement de la relation avec le client ... 136
9.3. Le contrle permanent des risques clients ............................................................................................ 139
Faisceau dindices pour caractriser les cas entrant dans le champ de la libre
prestation de services ................................................................................................. 42
Faisceau dindices pour lagrment dun prestataire originaire dun pays tiers ........ 47
Proposition de dclaration auprs de lautorit dagrment de lintention
dun prestataire de raliser des oprations bancaires ou des services
financiers sur Internet ................................................................................................. 51
Cration dune base de recherche des activits sur Internet des tablissements
de crdit et des prestataires de services dinvestissement ......................................... 51
Identification du prestataire et renvoi par lien hypertexte au site de la Banque
de France-CECEI ..................................................................................................... 52
Interoprabilit des autorits de certification ............................................................ 78
Document relatif la stratgie commerciale Internet de ltablissement .................. 90
Ltablissement de scnarios de crise pour apprcier la solidit de la structure
financire....................................................................................................................93
Le suivi de la rentabilit ............................................................................................ 94
Document relatif la matrise des risques de contrepartie, juridiques et
techniques .................................................................................................................. 96
Bonnes pratiques en matire de matrise du risque juridique .................................... 98
Bonnes pratiques concernant la dlivrance des certificats ...................................... 101
Le recours des prestataires de services de certification (PSC) accrdits ............ 102
La matrise de la prestation externe ......................................................................... 105
Questionnaire scurit ............................................................................................. 106
La matrise du systme dinformation, que ce dernier soit externalis en tout
ou partie ou interne ltablissement ...................................................................... 109
La dfinition au sein du Comit franais dorganisation et de normalisation
bancaire (CFONB) dun profil de protection, rfrentiel de scurit de place . 117
La dimension internationale du profil de protection.......................................... 119
La labellisation des sites .......................................................................................... 119
Louverture des comptes distance ......................................................................... 128
Une vigilance renforce en matire de surveillance des oprations sur Internet ........ 131
Exigences relatives au contrle de la capacit du prestataire matriser
son site web et son activit ...................................................................................... 133
Bonnes pratiques en matire de matrise des risques clients ............................. 136
ANNEXES
Annexe 1 : Composition du groupe de travail.....................................................................153
Annexe 2 : Guide dlaboration dune politique de scurit
Internet (PSI) du Forum des comptences..........................................................155
Annexe 3 : Glossaire.........................................................................................................157
Annexe 4 : Bibliographie indicative...................................................................................171
AVANT-PROPOS
En quelques annes, Internet a connu un dveloppement trs rapide dans le domaine
bancaire et financier. Ce phnomne sest largement diffus dans les pays dvelopps. En
France, le nombre dinternautes reprsente environ 15% de la population et devrait connatre
une forte croissance dans les prochaines annes grce aux multiples modalits daccs proposes
(ordinateurs, tlphones mobiles, agendas lectroniques, tlvisions). Le dveloppement
en France des services bancaires et financiers sur Internet a t trs dynamique: 86 banques
franaises proposaient un site Internet en 1999, et plus de 130 en 20001.
Les banques franaises ont privilgi le plus souvent une stratgie de type multicanal.
Internet est alors un moyen parmi dautres de relation avec la clientle (agences, minitel,
centre dappels tlphoniques). Les services rendus initialement limits la consultation
du solde des comptes et au courtage en ligne2 slargissent progressivement lensemble des
transactions bancaires et financires.
De faon beaucoup plus minoritaire, Internet peut tre le canal principal de la relation
avec la clientle. Ces banques virtuelles sont tablies par des tablissements bancaires
dsireux de pntrer sur le march franais sans avoir constituer un rseau dagences ou par
des entreprises dassurance soucieuses de diversifier leur offre de services financiers.
Les services bancaires et financiers en ligne devraient connatre une progression
importante dans les prochaines annes, tant en raison de llargissement du nombre dinternautes
que de leur usage croissant de ces services3. La baisse des cots de tlcommunication et le
renforcement de la scurit des transactions, tant dun point de vue technique que juridique,
devraient jouer un rle essentiel dans cette volution. A cet gard, lvolution du droit et de la
technique devrait permettre, le cas chant, dans la plupart des pays dvelopps de conclure
prochainement des oprations en ligne pour lesquelles le formalisme de lcrit-papier est encore
aujourdhui indispensable.
v
Le dveloppement de lInternet est porteur de nombreuses opportunits pour les
tablissements financiers comme pour leur clientle.
Pour les tablissements, Internet diminue le cot de traitement de certaines oprations
en impliquant davantage les clients dans les processus oprationnels. En facilitant un traitement
des oprations de plus en plus automatis, Internet permet de redployer les effectifs vers des
services plus forte valeur ajoute au bnfice des clients.
LAssociation des courtiers en ligne Brokers on line a valu prs d1 million le nombre dordres de bourse transmis en ligne la
bourse de Paris en novembre 2000 contre 600.000 en dcembre 1999.
Une enqute rcente (Association franaise des banques/IREQ) indique que trois internautes sur cinq nutilisent pas encore de services
financiers sur Internet.
Internet permet galement doffrir une palette plus large de produits financiers
destination des particuliers ou des entreprises et damliorer la qualit des services. En outre,
de nouveaux services se dveloppent, notamment en matire de scurit. Ainsi, les
tablissements bancaires, forts de leur capital de confiance, souhaitent dvelopper des services
de certification.
Par ailleurs, Internet conduit les tablissements financiers affiner lanalyse des cots
et des revenus associs chacun de leurs produits en raison de la concurrence des offres en
ligne, ce qui leur permet de rpondre de la meilleure faon aux besoins de la clientle. Les
tablissements agissent sur plusieurs paramtres: le contenu de loffre, la tarification des
services et llargissement des plages horaires en dehors des heures douverture des agences.
Dans ce contexte, les moteurs de recherches, les portails et les sites de comparaison
des offres de produits bancaires et financiers contribuent une meilleure diffusion de
linformation au profit de la clientle.
v
Face au dveloppement de ce nouveau canal de distribution, le Livre blanc a une
triple vocation.
Dune part, ces volutions, porteuses dopportunits, tant pour la clientle que pour les
tablissements, sont galement sources dincertitudes pour ces derniers. Le Livre blanc
est un recueil des bonnes pratiques en matire de contrle interne, de lutte contre
le blanchiment et de scurit destination de la profession.
Dautre part, des propositions sont formules pour augmenter encore la scurit
des oprations bancaires et financires en ligne. Ces propositions sont de nature
renforcer la confiance de la clientle dans ces nouvelles technologies.
Enfin, ce Livre blanc sefforce dapporter des solutions aux problmes prudentiels
lis la nature transfrontalire de loffre et sinscrit, ce titre, dans le cadre de la
rflexion internationale mene au sein du Comit de Ble pour le contrle bancaire et
entre les superviseurs bancaires europens.
v
10
Le Forum des comptences est une association de spcialistes de la scurit des systmes dinformation du secteur bancaire et financier.
La transposition de la directive commerce lectronique devrait permettre, le cas chant, dadapter le formalisme de certains
contrats llectronique, pour permettre la conclusion de contrats pour lesquels le formalisme crit-papier est encore indispensable la
validit mme de lacte.
11
12
13
15
2. Recommandations la place
la mise en place dun lien hypertexte entre le site des tablissements et celui de la
Banque de France-CECEI, autorit dagrment(point 2.2.1, page 50) ;
16
RSUM
1. Laccs lexercice dactivits bancaires et financires
sur Internet
La prestation de services bancaires et financiers par Internet modifie les conditions
traditionnelles dexercice de ces activits. Lessor de ce nouveau mode de relation daffaires
facilite ltablissement de contrats transfrontaliers et modifie la relation avec la clientle tout
en suscitant lapparition de nouveaux acteurs. Par l-mme, les autorits sont amenes clarifier
un certain nombre de situations et prciser certaines exigences lies lagrment, relatives
notamment la solidit de la structure financire et la matrise des sites web.
Un prestataire de lespace conomique europen peut exercer son activit sur la base
de lagrment dont il dispose dans son pays dorigine, en bnficiant soit de la libert
dtablissement, soit de la libert de prestation de services. Celles-ci supposent une information
pralable des autorits. Il est propos que la prestation par Internet sapparente une libre
prestation de services ds lors que lintention du prestataire est caractrise. Cette intention
serait apprcie sur la base dun faisceau dindices (possibilit dentrer en relation daffaires
distance, prsentation du site dans la langue nationale, rfrencement du site dans des portails
nationaux et dans des moteurs de recherche nationaux).
17
18
2. La scurit
Le Livre blanc sur la scurit des systmes dinformation des tablissements de crdit
de la Commission bancaire, publi en 1996, soulignait limportance des risques lis aux
systmes dinformation, dont la matrise devait devenir, si elle ne ltait dj, lun des objectifs
de chaque direction gnrale. Cet avertissement a t renforc, par la suite, par les prescriptions
de larticle 14 du rglement n 97-02 du Comit de la rglementation bancaire et financire,
celui-ci rendant explicitement les dirigeants des tablissements responsables de lvaluation
et de la matrise des risques lis la scurit des systmes dinformation.
Si les menaces auxquelles doivent faire face les tablissements restent, sur le plan des
principes, de nature traditionnelle et sont couverts par les objectifs de scurit DICP1 ,
lacclration des processus techniques et du risque de propagation, qui dcoule du recours
lInternet, implique une ractivit immdiate et proportionne tout incident (menace rvle),
destine en entraver aussi bien lextension que laccumulation des consquences.
Le dveloppement de lInternet comme support dun certain nombre dactivits
bancaires et financires, exige donc dornavant une vigilance accrue de la part des directions
gnrales en matire de scurit. Leur attention est attire plus particulirement sur le besoin
de recourir des valuations priodiques de la vulnrabilit des systmes face aux attaques
internes et externes. Par ailleurs, la rapidit de propagation des incidents, en cas de mise en
dfaut des dfenses devrait inciter les tablissements accrotre lefficacit des systmes et
des personnels en charge de la dtection et des corrections.
Cest ainsi que des mesures particulires devraient tre mises en place, afin de crer un
environnement de confiance et de scurit des transactions, de mme niveau que celui qui
prvaut lorsque ces transactions sont ralises avec la prsence physique des parties, ou au
moins laide dun support matriel (en gnral papier). Lies une acclration des
transmissions et des processus techniques et face lextension de lorigine des menaces, les
menaces inhrentes lmergence des nouvelles technologies de linformation et des
tlcommunications (NTIC) peuvent se dcliner sous plusieurs angles:
-
la vitesse de propagation des menaces ne peut tre prise en compte par les dispositifs de
prvention et de protection traditionnels, une forte ractivit pour la dtection et la
neutralisation de la menace tant imprative;
la relation avec les tiers seffectue dans un cadre dmatrialis susceptible dintroduire
pour chacune des parties une inscurit juridique spcifique.
1) Disponibilit, Intgrit, Confidentialit et Preuve, comme exposs dans le Livre blanc sur la scurit des systmes dinformation.
19
Au premier degr, les risques oprationnels doivent tre matriss par ltablissement
dans le cadre de la dfinition et de la mise en uvre dune politique de scurit Internet et de
son contrle (1). Lexistence dun risque de rputation, qui peut se diffuser lensemble de la
place, impliquerait quy soit ajout un rfrentiel de scurit de place (2).
La perte dintgrit des flux dinformation, latteinte la vie prive (coute, conservation
illicite dinformations personnelles), lusurpation didentit dun utilisateur autoris, sont autant
de menaces auxquelles les tablissements doivent sefforcer de rpondre afin dassurer la
scurit des transactions.
Cela requiert en gnral la mise en oeuvre de techniques cryptographiques adaptes
aux exigences des mtiers bancaires. Cest ainsi que si toutes les informations transmises ne
demandent pas tre protges, les tablissements auront soin de dfinir les transactions qui
ncessitent des dispositifs ou des infrastructures de scurit ad hoc: cryptographie
asymtrique, chiffrement des donnes, etc.
Il peut tre galement ncessaire, dans le cadre des transactions sur Internet, de faire
usage de fonctions dauthentification forte pour sassurer de lidentit des diffrentes parties.
Ceci peut tre ralis en utilisant une varit de mthodes (mots de passe chiffrs, cartes
puces2 , signatures lectroniques, voire biomtrie), qui ne sont pas exclusives les unes des
autres, mais qui doivent sadapter aux exigences des mtiers bancaires. Les infrastructures
clef publique, dans lesquelles intervient un tiers pour certifier les changes, restent cependant
indispensables, dans ltat actuel des techniques, pour couvrir lensemble des besoins de
scurit: authentification, confidentialit, intgrit et non-rpudiation.
2) Les conditions de scurit fixes par le dcret signature lectronique tant a priori difficilement remplies par des dispositifs de
cration de signature sous environnement PC, lutilisation de la carte puce sera probablement incontournable.
20
La disponibilit des services offerts sur Internet et la matrise des risques dintrusion
dans les systmes dinformation de ltablissement doivent tre au coeur des proccupations
des responsables. Sous la pression de la concurrence et des attentes des clients, une
indisponibilit prolonge, outre le risque financier immdiat quelle peut comporter, peut tre
fortement dommageable pour les tablissements en termes dimage et de crdibilit. Cest
ainsi quen raison des menaces spcifiques de lInternet, notamment en matire de dni de
service3 , la conception et la fiabilit des systmes de secours (back-up) doivent tre
particulirement renforces.
Les menaces dintrusion que reprsentent des accs illicites, le contournement du
contrle daccs, la modification des rgles et lusurpation de lidentit des exploitants du
systme sont srieuses et peuvent porter prjudice tant au service sur Internet quaux systmes
dinformation internes auxquels ce service Internet est raccord. La conception et la fiabilit
des systmes de contrle daccs et de cloisonnement entre les sous-systmes doivent tre
particulirement bien tudies. Les conditions de surveillance et de maintenance de ces systmes
doivent en particulier tre trs srieusement dtailles, appliques et pourvues en personnel
comptent et disponible.
Il faut rappeler que les fraudes et malversations internes reprsentent toujours une
grande part des actes de malveillance en matire datteinte la scurit des systmes
dinformation. La mise en place conjointe de mesures assurant un contrle efficace des accs
et de modalits dattribution des autorisations rellement discriminantes est seule de nature
juguler ce risque.
Des rponses aux menaces susceptibles de porter atteinte la fois au service et aux
clients
3) Attaques qui visent paralyser un systme sous un flot de requtes saturant les serveurs.
21
La certification devrait ainsi avoir pour objet de garantir le niveau de scurit offert
par tout site soumis lobligation dagrment, non seulement aux yeux des autorits franaises
de contrle, mais aussi trangres, en raison de la vocation internationale croissante des services
bancaires en ligne. En tant que standard international, les Critres communs simposeront
alors immdiatement comme une rfrence oblige pour une recherche de reconnaissance
mutuelle du (ou des) futur(s) PP susceptible(s) dtre dfini(s).
Certains besoins scuritaires, au-del de la cible dvaluation qui sera adopte pour le
PP, pourraient tre jugs importants par les tablissements. La rponse se situerait dans une
labellisation complmentaire permettant de garantir la qualit du site concern, notamment en
regard des critres juridiques devant entourer la relation commerciale sur un plan bilatral.
La cration dun label englobant tous ces aspects rpondrait ainsi lobjectif doffrir
une assurance supplmentaire de lgitimit aux clients, tout en constituant un argument
commercial pour les tablissements qui ladopteraient.
En tout tat de cause, la certification et/ou la labellisation ne constitueraient que des
lments complmentaires intgrs au dispositif global de scurit, lequel doit rester sous
lentire matrise de la direction gnrale des tablissements.
22
Le blanchiment peut tre facilit par la nature dmatrialise de la relation qui stablit
via Internet entre le banquier ou le prestataire de services dinvestissement et son client,
qui rend plus difficile la vrification de lidentit et de la capacit financire de ce dernier.
Les possibilits de traitement, largement automatiss, des oprations des clients sont
galement un facteur de risque en permettant aux clients de dissimuler des oprations
douteuses ou frauduleuses dans une masse doprations traites sans contrle humain.
La possibilit douvrir des comptes avec des clients non-rsidents pose la question de la
matrise des risques juridiques.
Il apparat enfin que limportance des investissements ncessaires impose aux tablissements
de porter une attention particulire la rentabilit des fonds investis.
Le Livre blanc conclut quen matire de contrle interne, les risques peuvent tre matriss
dans le cadre de la rglementation actuelle. Les recommandations suivantes constituent cet
gard autant de principes de base du contrle interne qui peuvent utilement tre rappels tous:
-
les organes dirigeants doivent tre impliqus toutes les tapes dun projet Internet. Une
coordination des projets existant au sein de ltablissement est ncessaire la matrise des
risques, dans le cadre de la politique de scurit approuve par les dirigeants;
lorsque les services sont rendus des non-rsidents, le cadre juridique de la relation doit
tre connu et lensemble de la documentation juridique doit y tre adapt;
il est ncessaire de se doter de dispositifs de limitation permanente des risques sur les
clients et contreparties, et notamment de filtres exhaustifs et automatiques, dont lexistence
23
Le Livre blanc souligne les risques importants en matire de blanchiment induits par
loffre de services financiers sur Internet et la vigilance toute particulire qui est requise des
tablissements intervenant par ce canal. Il soulve galement les difficults dapplication des
dispositions de la loi du 12 juillet 1990 en matire didentification lors de lentre en relation
daffaires avec un client qui nest pas physiquement prsent.
-
Des prconisations sont faites en matire dentre en relation avec la clientle, pour viter
que des comptes soient ouverts sous de fausses identits ou par des prte-noms en profitant
des difficults didentification dues une relation dmatrialise. Il est recommand en
particulier que des mesures spcifiques permettant dtablir lidentit du client soient mises
en place telles que notamment, lobtention de pices justificatives supplmentaires ou des
mesures additionnelles de vrification. Par exemple, le dossier douverture de compte,
comprenant notamment lidentifiant et le mot de passe du client (ou son quivalent) peut
tre envoy par la poste, si possible avec accus rception. Enfin, il est apparu ncessaire
de souligner que le fonctionnement dun compte - y compris la rception de fonds et
dinstruments financiers - ne peut tre autoris quune fois que la procdure didentification
a t acheve.
24
INTRODUCTION
Ce Livre blanc est issu dune collaboration entre des reprsentants dtablissements de
crdit et dentreprises dinvestissement et des agents de la Banque de France et du Secrtariat
gnral de la Commission bancaire, au sein de groupes de travail dont la composition figure
en annexe. La rflexion, qui sest appuye sur un document de discussion et dtudes disponible
sur le site de la Banque de France, sest concentre sur trois domaines:
-
scurit;
Le cadre dexercice des activits bancaires et financires sur Internet est analys et
prcis en premire partie. En pralable, il convient de noter quInternet prsente une nouvelle
donne pour loffre de services bancaires et financiers tant en raison de la nouvelle relation de
clientle qui prvaut sur ce canal de distribution, des nouveaux oprateurs et des nouvelles
pratiques qui se dveloppent, que de la nature transfrontalire de loffre (point 1). Il dcoule
de cette analyse les conditions daccs lactivit bancaire et financire sur Internet (point 2),
quil sagisse des oprateurs dun pays tiers lespace conomique europen (EEE) ou des
pays de lEEE. Lexamen des conditions daccs lactivit bancaire et financire sur Internet
ne peut pas faire lconomie dune analyse supplmentaire concernant le droit applicable
lexercice de cette activit (point 3.). Le cadre dexercice de lactivit bancaire et financire
sur Internet est prsent sous forme de grille danalyse des diffrentes relations prestataires/
clients. Ces dveloppements sont destins faciliter la matrise du risque juridique affrent
une relation transfrontalire, sans pour autant prsenter une analyse exhaustive des rgles de
droit. Enfin, le droit de la preuve dans le contexte dInternet est prsent.
Outre ces risques juridiques lis une prestation transfrontalire, sont exposs dans
une seconde partie les risques, dun point de vue prudentiel, de lusage de ce canal de
distribution. Si les risques financiers sont de mme nature (point 4.), lInternet accentue la
porte des risques oprationnels, qui restent de nature traditionnelle (point 5.) :
-
risques juridiques;
25
26
PREMIRE PARTIE
27
29
aux dispositions des droits nationaux applicables aux oprations quil exerce, comme le rappelle
le Conseil dEtat dans son rapport Internet et les rseaux numriques de 1998.
Ainsi, les oprations de banque ou les services dinvestissement effectus sur Internet
sont couverts par les rglementations gnrales et sectorielles applicables ces activits.
ce titre, comme dans la plupart des tats, lexercice de ces oprations est rserv, en
France, des entreprises ayant obtenu un agrment en qualit dtablissement de crdit ou
dentreprise dinvestissement de la part des autorits comptentes. Pour lensemble des
oprations bancaires et financires, lexception du service dinvestissement de la gestion de
portefeuille pour le compte de tiers, pour lequel la Commission des oprations de bourse est
seule comptente, cest le Comit des tablissements de crdit et des entreprises dinvestissement
(CECEI) qui est charg, par la loi bancaire du 24janvier1984 et la loi de modernisation des
activits financires du2juillet1996, de dlivrer ces agrments.
Lexercice doprations bancaires ou financires sur le rseau requiert donc que son
promoteur dispose dun agrment en qualit dtablissement de crdit ou dentreprise
dinvestissement, si cela nest pas dj le cas. De mme, si son activit sur Internet slargit
de nouveaux services non couverts par le champ de lagrment qui lui a t accord
prcdemment, il devra veiller demander llargissement de celui-ci.
Lagrment ne se rduit pas la dlivrance dune autorisation dexercer. La procdure
prvue par la lgislation et la rglementation est destine garantir laptitude des oprateurs
exercer en toute scurit des activits lies la manipulation davoirs montaires ou de titres
pour le compte de leur clientle. Les autorits doivent donc veiller au respect par les prestataires
dun certain nombre dexigences portant sur le montant de leurs ressources et la solidit de
leur actionnariat, sur lhonorabilit et lexprience de leurs dirigeants, ainsi que sur les moyens
techniques de leur organisation. Dans le cadre des missions qui lui sont dvolues par la loi
bancaire, le Comit des tablissements de crdit et des entreprises dinvestissement procde
un examen approfondi tant du programme dactivits et des moyens techniques et financiers
appels tre mis en uvre que de laptitude des candidats raliser des objectifs de
dveloppement dans des conditions compatibles avec le bon fonctionnement du systme
bancaire. Paralllement, et conformment la loide modernisation des activits financires,
le CECEI ralise un examen similaire lors de lagrment relatif la prestation de services
dinvestissement, sur la base dune approbation des programmes dactivits par le Conseil des
marchs financiers et, le cas chant, par la Commission des oprations de bourse.
Est-il possible sur ces bases de conclure que lexercice dactivits bancaires et
financires par Internet nemporte aucune consquence en matire dagrment?
Le fait mme que les oprations effectues par Internet continuent relever du droit
bancaire et financier existant pose ncessairement la question de savoir si les exigences qui
fondent aujourdhui la dlivrance de lagrment demeurent adaptes. Les rflexions qui suivent
permettent de tracer les changements quintroduit lusage dInternet dans lexercice doprations
bancaires et financires. Elles font apparatre des questions tenant laptitude des acteurs
effectuer ces services, la licit de pratiques nouvelles, la modification de la relation entre
le prestataire et son client, ainsi quau caractre transfrontalier de loffre.
30
1.2.1.
31
ainsi que de la proposition de directive concernant les services financiers distance. Cest le
cas galement de la prochaine loi franaise relative la socit de linformation.
Enfin, la technologie de lInternet continue, quant elle, se perfectionner pour faciliter
cette progression en rpondant aux rticences lies une relation dpersonnalise (incrustation
de la voix et de limage sur la page web par exemple). Bien entendu, le choix entre ces deux
modes opratoires nest pas antinomique et ceux-ci peuvent tout fait coexister sur un mme
site de faon satisfaire des clientles de profils diffrents.
La cration dune banque ou dune entreprise dinvestissement virtuelle, mme si elle
peut dboucher sur une exploitation moins coteuse compte tenu de la diminution des structures
commerciales, doit cependant prvoir un investissement lev pour lachat du systme
dinformation matriel et logiciel, son installation et la recherche de la clientle. Ce dernier
aspect acquiert mme des proportions trs importantes dans le plan de dveloppement des
socits qui ouvrent un site Internet, avec un retour sur investissement souvent trs tardif. Les
budgets publicitaires trs importants qui y sont consacrs doivent ainsi tre mis en perspective
avec la grande fragilit de la relation clientle qui sinstaure. En effet, pouvant en permanence
comparer les offres et faire jouer la concurrence, ladhsion commerciale un site du client
internaute est volatile.
La matrise de ces investissements et le bon quilibre financier de lexploitation de tels
systmes sont donc particulirement importants sagissant dactivits relatives la rception
de fonds et lpargne publique.
La clientle tire un avantage de lutilisation de ce canal de distribution la fois parce
quelle peut lgitimement en attendre une baisse des frais lis aux oprations quelle effectue
et parce quelle peut plus aisment comparer les offres concurrentes avant de sengager. Il est
noter cependant quelle se trouve soumise au dispositif technique mis en place par le
prestataire, tel quil rsulte notamment du mode denchanement des crans, du contenu
informatif dlivr et du systme de validation des ordres. Bien souvent, le client sera alors en
situation de devoir adhrer telle ou telle proposition sans avoir pu en modifier ses
caractristiques et sans avoir pu en discuter avec un conseiller commercial de ltablissement.
Cest pourquoi la capacit dun consommateur disposer dune bonne connaissance des
conditions de son engagement dans un environnement Internet est une proccupation majeure
des autorits.
Le dveloppement de la banque et de la finance sur Internet suppose que la clientle
adhre ce nouveau mode de relation. Or cela ne pourra se faire sur la base du seul avantage
dun confort dutilisation de la part du client. Ce dernier attend lgitimement un service assorti
des meilleures conditions de scurit en raison de la sensibilit du contenu des informations
financires changes via le rseau et traites sur les ordinateurs du prestataire. Il attend
galement des assurances concernant lidentit de loprateur. Celles-ci sont essentielles compte
tenu des nombreux risques de malveillance informatique existant sur ce rseau ouvert. Elles le
sont galement dans la mesure o lmergence de lexercice dactivits bancaires et financires
sur Internet fait apparatre de nouveaux acteurs et de nouvelles pratiques.
32
1.2.2.
1.2.3.
33
linternaute puisquil peut dialoguer avec loprateur, cest--dire obtenir les informations
quil recherche et passer des ordres. Chacune des parties opre ainsi sur le rseau via un
ordinateur dont lloignement gographique et limplantation sont indiffrents. La localisation
de ces machines est constitue par leur adresse sur le rseau. Celle dun site web est enregistre
auprs des instances charges de ladministration des noms de domaine qui sont organises
sur des bases nationale et mondiale. Il est toutefois noter que malgr le rattachement indicatif
un pays, la localisation dun site reste incertaine compte tenu de la nature mme du rseau
ouvert qui est construit en maillage, de ses nombreuses possibilits de reroutage et de la libert
de lenregistrement de sites auprs dautres autorits nationales que celles du lieu dimplantation
du prestataire (par exemple lenregistrement dun oprateur franais en .com, auprs des
instances amricaines).
En matire bancaire et financire, o les oprations sont rserves des tablissements
rgulirement agrs par les autorits du pays dans lequel ils exercent une activit, cette
dimension transnationale prsente un certain nombre de difficults, essentiellement pour ce
qui concerne les tablissements autorisant la clientle traiter entirement par le rseau.
Le service tant ralis distance, deux questions essentielles se posent. Il faut dabord
dterminer si loprateur dispose de la capacit juridique exercer son activit sur un territoire
donn, notamment si celle-ci est effectue dans un autre tat que celui de son lieu
dtablissement. Il est ensuite important de connatre le droit applicable aux oprations qui
vont tre conclues avec une contrepartie non-rsidente.
Bien sr, lexercice dactivits bancaires et financires transfrontalires nest pas nouveau.
Ces situations sont traites par des dispositions adquates des droits nationaux des tats et du
droit international. Fond sur le principe de la reconnaissance mutuelle des agrments, le droit
europen, qui concourt la mise en uvre dun vaste march unique, offre mme un cadre
labor et harmonis. Mais les spcificits de lutilisation dInternet, qui tiennent labolition
des distances et au caractre transactionnel des ordres, peuvent compliquer linterprtation
des textes existants. Ainsi, il peut tre difficile dapprcier la localisation des oprations et
de dterminer si elles sont effectues auprs du prestataire ou auprs du client. De mme,
le caractre mondial du rseau oblige naturellement favoriser lmergence de standards
internationaux quant la stabilit des acteurs et la scurit des clients et des marchs.
Lapprofondissement de la rflexion sur ces points est important pour permettre aux
autorits en charge de lagrment de mesurer la lgalit et la scurit des oprations effectues
sur Internet.
Il est ainsi constat que loffre de services bancaires et financiers par Internet modifie
sensiblement les conditions traditionnelles dexercice de ces activits. Lessor de ce nouveau
mode de relation daffaires, qui facilite ltablissement de contrats transfrontaliers et qui modifie
la relation avec la clientle tout en suscitant lapparition de nouveaux acteurs, amne les autorits
clarifier un certain nombre de situations et prciser certaines exigences lies lagrment
concernant les conditions daccs une telle activit et au droit applicable aux oprations.
34
2.1.1.
Les services bancaires et financiers rservs aux seules entreprises agres en qualit
dtablissement de crdit ou dentreprise dinvestissement en France sont dfinis par les articles
14 de la loi bancaire et 4 de la loi de modernisation des activits financires.
35
Lorsque le prestataire sur Internet offre de conclure immdiatement par voie lectronique
une opration de banque ou de fourniture de services dinvestissement, il est essentiel, pour
savoir si cette opration entre dans le champ dapplication du monopole prvu par les lois
franaises, de dterminer le lieu o cette opration est effectue.
Comment dterminer ds lors si lopration rserve est effectue au lieu dimplantation
du prestataire ou celui du client?
Il nous semble quil faut considrer que le rseau Internet nest quun moyen technique
de communication distance permettant un internaute quel quil soit dentrer en relation
avec un service prvu cet effet par un oprateur dtermin. En matire informatique en
effet, cette relation consiste simplement en un accs distance un serveur par un poste
client.
Au plan des principes, il faudra donc rechercher le lieu daccomplissement de la
prestation caractristique du contrat. Celle-ci est entendue comme la prestation pour laquelle
le paiement est d. Dans certaines situations, elle pourrait tre difficile identifier, comme
dans le cas de la ngociation pour compte propre, ou lorsque le service est excut dans un
pays autre que celui du client ou celui du prestataire. Cela tant, il y aura gnralement lieu de
considrer que les oprations concrtes douverture de compte et de gestion des oprations,
qui caractrisent les services bancaires et financiers, mme commandes par un client situ
ltranger, seffectuent sur les ordinateurs et au sein du systme dinformation et de gestion
du prestataire, donc normalement au lieu de son implantation administrative ou oprationnelle
(oprations sur les comptes tenus dans ses livres, octroi de crdit par inscription en compte ou
virement, passation dordres sur le march rglement auquel il accde). Sil y a dissociation
entre le lieu o est implant le serveur hbergeant le site du prestataire et le lieu de son systme
de gestion, o sont tenus les comptes, il y aura lieu de considrer ce dernier comme pertinent.
Bien videmment, la ralit des schmas de fonctionnement mis en uvre par certains
prestataires peut tre plus complique et, par exemple, mobiliser en relais les services dun
correspondant dans le pays du client pour faciliter ce dernier la ralisation de ses oprations
transitant par les systmes de paiement ou de rglement-livraison domestiques. Dans de tels
cas, il appartient aux autorits dapprcier sil y a ralisation doprations bancaires ou
financires en France.
De mme, linterprtation doit tre diffrente de celle donne pour le cas gnral
expos plus haut si Internet permet au prestataire de raliser le service en apportant
lobjet de celui-ci directement sur lordinateur du client. Cela pourrait par exemple tre le
cas dans lhypothse o un prestataire effectuerait une mise disposition de monnaie
lectronique depuis son site directement sur le poste du client ou sur la carte dite
porte-monnaie lectronique insre dans un lecteur attach ce poste. Nanmoins,ces
cas restent pour linstant marginaux. Il pourrait galement en tre autrement si les prestations
caractrisant le contrat ntaient effectues ni au lieu dtablissement du prestataire, ni sur
lordinateur du client, mais nanmoins dans le pays du client (octroi des fonds directement
sur un compte localis dans ce pays par exemple, mise la disposition du public dun
moyen de paiement tel une carte de retrait ou une carte de paiement).
36
La seule ouverture dun site web bancaire ou financier, par nature accessible
distance et donc de ltranger, ne place donc pas son promoteur en situation dexercice
illgal de la profession sur dautres territoires que celui de son lieu dtablissement. De
mme, la connexion dun client originaire dun tat autre que celui du site bancaire ou
financier, limage du dplacement physique ltranger de celui-ci dans une agence
de ltablissement, ne doit pas ipso facto faire considrer que le prestataire exerce via
son site une activit sur le territoire du client.
2.1.1.2.
Pour lautorit dagrment, diffrents cas de figure sont analyser pour dterminer la
ralisation en France doprations soumises autorisation.
Le cas des entreprises de droit franais qui exercent leur activit sur Internet avec la
clientle franaise ne pose videmment pas de problme de localisation du service. Comme
pour des services effectus en agence, une telle activit est soumise lagrment du CECEI.
Quelle est en revanche la situation des socits implantes ltranger qui exerceraient
des oprations bancaires ou des services dinvestissement en France? Le CECEI doit apprcier
si lexercice de leur activit ncessite quelles se mettent en conformit avec les dispositions
relatives lagrment en France. Or, certaines pourront avoir spontanment fait le choix douvrir
une structure agre, alors que dautres choisiront des modes dtablissement des relations
daffaires ne faisant pas appel une entit rgulirement habilite. Lattention de ces socits
doit alors tre porte sur le fait que certains de ces modes peuvent tre considrs par le
CECEI comme des cas de prsence permanente en France, ncessitant un agrment.
Dans tous les cas, il doit bien entendu tre rappel que lobligation dagrment sapplique
aux activits bancaires et financires telles que dfinies par la loi bancaire et la loi de
modernisation des activits financires, et non telles que dfinies par la lgislation du pays
dorigine desdites socits.
2.1.1.2.1.
Il est possible que le prestataire dun pays tiers lEspace conomique europen, qui
dsire offrir ses services la clientle franaise, choisisse de lui-mme de stablir en France
en ouvrant une filiale ou une succursale qui mettra en uvre un service sur Internet destination
de cette clientle. Cette dmarche peut tre motive par des considrations commerciales en
ce quelle permet au prestataire de mieux se faire connatre auprs du public et de rassurer sur
la prennit de son offre. Il est en effet frquent que la prestation en ligne sassortisse de la
cration dun rseau minimal dagences destines au contact avec la clientle et la promotion
de loffre sur Internet.
Vis--vis des autorits franaises, lentreprise aura alors solliciter un agrment pour
la cration de la filiale ou de la succursale et sera par ailleurs soumise aux dispositions franaises
de nature lgislative ou rglementaire relatives lexercice dactivits bancaires ou financires
(sur les modalits prcises douverture de cette implantation et sur la doctrine du CECEI en la
37
matire, voir le Rapport annuel pour 1999 du Comit des tablissements de crdit et des
entreprises dinvestissement, points 8.2.1 et suivants).
La situation peut videmment tre moins simple. En effet, lapport technologique
dInternet facilite la sollicitation sur le rseau, par des offreurs oprant depuis leur pays
dtablissement, dune clientle rsidant dans un autre tat. Les autorits franaises doivent
ds lors analyser au cas par cas si de telles activits, lorsquelles sont effectues en France, ne
doivent pas tre considres comme constituant une prsence permanente de loffreur en
infraction avec le monopole bancaire et financier pos par la loi bancaire et la loi de
modernisation des activits financires (voir point 2.1.3).
2.1.1.2.2.
38
a)
b)
De la mme faon quil est dcrit ci-dessus, le prestataire peut ouvrir un site en France
mais en destinant celui-ci la simple information du public et non la ralisation
doprations de banque ou de services dinvestissement. Il sagira ainsi, par exemple,
de diffuser des communications relatives la socit. Le site remplirait alors la fonction
habituelle dun bureau de reprsentation et devrait donc, conformment la loi, notifier
sa demande douverture au CECEI (articles 9 de loi bancaire et 81-I de la loi de
modernisation des activits financires).
c)
Linscription sur un site portail franais dun lien hypertexte renvoyant vers le site dun
prestataire tranger est plus difficile caractriser. En effet, un tel lien nest pas toujours
tabli sur demande ou mme accord du site destinataire. De nombreux annuaires ou
portails composent eux-mmes de vritables bouquets de services, de sorte quil est
difficile de dterminer si le prestataire a rellement souhait tre prsent par ce moyen
sur les sites du rseau localisables en France. Cela pourrait toutefois tre le cas si le lien
hypertexte tait accompagn par exemple des signes commerciaux distinctifs de
ltablissement tranger (logo, message commercial) car ce type daffichage est le plus
souvent caractristique dun vritable partenariat entre le portail et le prestataire. La
question se pose alors de savoir si loprateur, dont le site lui-mme reste localis
ltranger, remplit les critres poss par le CECEI pour dterminer une prsence
permanente en France. Mme si une analyse des situations particulires est ncessaire,
il semble que dans ce type de relation, le client ne peut conclure avec lintermdiaire un
contrat engageant valablement loprateur tranger. Il ne dispose de fait que dun accs
simplifi au site de celui-ci mais il doit prendre linitiative de sy connecter. Les critres
poss par le CECEI ne seront donc vraisemblablement pas remplis. En revanche,
dfaut de prsence permanente il pourra quand mme sagir dune sollicitation de la
clientle franaise exerce sur le territoire franais. Celle-ci entrerait alors dans le champ
des dispositions relatives la publicit et au dmarchage.
Il se peut galement que, sur la base de partenariats avec des tablissements de crdit
ou des entreprises dinvestissement franais disposant de sites Internet, le prestataire soit
accessible aux clients franais de ces sites par un lien hypertexte. Dans cette hypothse, le site
du prestataire franais proposerait la commercialisation de services raliss par le prestataire
tranger. Cette situation doit tre distingue de la simple relation de type correspondent
39
banking qui fait intervenir deux oprateurs pour excution des ordres de lun sur le march
de lautre. En la matire, le CECEI a jusqu prsent rserv sa position et na pas considr
que le recours un partenariat avec un tablissement dment agr devait requrir une
habilitation quelconque en France du prestataire tranger.
Pour linterprtation de lensemble de ces situations, qui peuvent prsenter une grande
varit dans les dispositifs techniques mis en uvre, la Banque de France et la Commission
bancaire adhrent au principe dutilisation dun faisceau dindices permettant de distinguer
lexercice dactivits rglementes en France.
2.1.1.2.3.
40
41
1. Faisceau dindices pour caractriser les cas entrant dans le champ de la libre
prestation de services
Afin de mieux caractriser les cas entrant dans le champ de la libre prestation
de services au sein de lEspace conomique europen, nous proposons qu dfaut
de manifestation expresse de cette volont par ltablissement lui-mme, les autorits
dagrment et de contrle considrent que le prestataire dsire exercer pour la
premire fois ses activits sur le territoire dun autre tat membre ds lors que
sont runis tout ou partie des indices suivants:
le site du prestataire est accessible via des portails localiss dans le pays du client;
Bien entendu, les lments figurant ci-dessus ne sont pas tous de la mme
importance. Cest leur runion qui permet la constitution dun faisceau dindices.
Leur liste nest pas limitative et peut tre revue par les autorits comptentes en
fonction de lvolution des techniques et des pratiques utilises sur le rseau.
Les autorits franaises rechercheront ladhsion des autres autorits de
lEspace conomique europen pour parvenir une interprtation homogne des
textes en vigueur.
42
Il peut exister des relations daffaires transfrontalires sans que les indices numrs
ci-dessus soient runis, de telle faon quil nest pas possible de penser que le prestataire a
souhait exercer son activit sur le territoire du client. Il faudra alors considrer que le client
est entr de lui-mme en relation avec le prestataire et que ce dernier na pas effectuer de
dmarche de dclaration de libre prestation de services auprs des autorits comptentes.
2.1.2.
La sollicitation de la clientle
Hors les cas dimplantation dans un pays, il est trs facile un prestataire tranger de
solliciter distance la clientle dun autre tat que le sien. En effet, les pratiques les plus
frquentes de recherche de la clientle reposent classiquement sur la publicit ou le dmarchage
en direction des rsidents dun autre tat.
Ces activits ne sont pas assimilables en elles-mmes la ralisation doprations
de banque ou de services dinvestissement. Elles nemportent donc pas lobligation dun
agrment au regard de la loi bancaire ou de la loi de modernisation des activits financires.
Cependant, elles sont en France, lorsquelles ont pour objet une offre de certains services
bancaires ou financiers, strictement rserves des entits disposant dun agrment et
celles-ci font toujours lobjet dun strict encadrement juridique. Ainsi, elles sont
particulirement encadres lorsquelles sont inities par des tablissements de crdit ou
des entreprises dinvestissement trangers.
2.1.2.1.1.
La publicit
Aux termes du dcret n68-259 du 15 mars 1968, pris pour lapplication de larticle 10
de la loi n66-1010 du 28 dcembre 1966 relative lusure, aux prts dargent et certaines
oprations de dmarchage et de publicit, les personnes qui sont domicilies ou qui ont leur
43
Le dmarchage
44
Ces dispositions sont relativement anciennes et peuvent paratre inadaptes aux pratiques
aujourdhui courantes sur Internet. Elles nont cependant pas ignor la possibilit doffres
transfrontalires mais elles les ont, au contraire, rserves dans un but de protection de lpargne
aux seuls tablissements habilits en France (ce qui inclut les prestataires de lEspace
conomique europen) ou leurs intermdiaires qui y sont localiss.
Cette position pourrait toutefois tre modifie par le lgislateur loccasion dun
projet de rforme de ces textes. Certaines dispositions sont en effet difficiles appliquer
au fonctionnement des services sur le rseau et mriteraient dtre adaptes. Mais au
del de ces amnagements dordre technique, lenjeu dun nouveau texte sera de poser
les conditions de la lgalit doffres de services effectues par Internet, auprs de la
clientle franaise, par des oprateurs situs hors de la Communaut europenne.
2.1.2.1.3.
En ltat de la lgislation, la difficult est dapprcier dans quelle mesure les dispositions
relatives la publicit et au dmarchage sappliquent aux pratiques actuelles de lInternet. En
effet, les moyens utiliss par les offreurs sur le rseau pour se faire connatre du public ou
pour lui formuler des offres diffrent de ceux connus dans les dcennies 1960 et 1970 et se
renouvellent constamment grce aux progrs de la technique.
Ils peuvent tre aujourdhui regroups selon les modalits suivantes:
a)
inscription, sur un site gnraliste (portail ou annuaire par exemple) du pays du client,
dimages et de messages publicitaires, gnralement associs un lien hypertexte
racheminant vers le site offreur (bandeau publicitaire). Cette pratique constitue
une forme de publicit et doit en consquence, ds lors quelle a pour objet de conseiller
ou doffrir des prts dargent ou de recueillir, sous forme de dpts ou autrement, des
fonds du public ou de proposer des placements de fonds, tre effectue en conformit
avec les obligations poses au point 2.1.2.1.1. La qualification de dmarchage doit en
revanche tre, selon nous, rejete. En effet, si elle peut tre habituelle, cette pratique ne
peut notre sens tre considre comme effectue au lieu de rsidence, au domicile ou
au lieu de travail du client, ni tre assimile un envoi de courrier ou de circulaire ou
une communication tlphonique. La question pourrait tre pose de savoir si le site
gnraliste hbergeant le bandeau publicitaire, dans le cas doprations sur prts dargent,
peut sapparenter un lieu ouvert au public et non rserv de telles [oprations].
Notre sentiment est quune telle interprtation serait exagre. En effet, le site gnraliste
reste avant tout un site commercial la recherche de la plus grande frquentationet son
usage est par ailleurs toujours initi par le client qui prend linitiative de sy connecter ;
b)
45
c)
d)
pourrait ventuellement tre assimil un lieu ouvert au public. Lorsquils ont pour
objet de conseiller ou doffrir des prts dargent ou de recueillir, sous forme de dpts
ou autrement, des fonds du public ou de proposer des placements de fonds, ces actes
peuvent tre assimils de la publicit. Ils doivent dans ce cas tre effectus en conformit
avec les obligations poses au point 2.1.2.1.1.
envoi de messages (e-mails) par un offreur sur les messageries lectroniques de
particuliers, ventuellement cibls selon le profil commercial de linternaute. Qualifie
par les anglo-saxons de spamming, cette technique, qui peut par ailleurs poser des
problmes datteinte la vie prive doit tre selon nous considre comme un acte de
dmarchage. En effet, cest ici la bote aux lettres identifiant un individu quest adress
le message, de la mme faon quun courrier peut tre envoy une adresse postale ou
quune communication tlphonique peut tre passe au numro dun particulier. Lorsque
lobjet du message entre dans le champ du dmarchage sur prts dargent ou du
dmarchage financier conformment aux lois de 1966 et de 1972, loprateur ou son
intermdiaire doivent se mettre en conformit avec les dispositions de ces textes.
En revanche, comme il a dj t prcis, laccessibilit dun site par un portail ou un
moteur de recherche dun autre pays ne permet pas dans tous les cas de dterminer une
dmarche active du prestataire pour offrir ses services la clientle de ce pays. Cela est
possible la condition que loprateur ait fait la dmarche de rfrencement, mais il est
courant que lindexation par un moteur de recherche soit ralise sans le consentement,
ni mme linformation du promoteur du site. Selon ces cas, on pourra donc conclure
quil y a ou non en France sollicitation de la clientle. Ainsi, linscription dun signe
commercial (logo), ventuellement accompagne dun message (slogan) pourra tre
assimile une publicit. Comme dans les cas a) et b), la qualification de dmarchage
nous semble en revanche devoir tre exclue.
46
2.1.3.
Dans certains cas, le prestataire souhaitera rserver laccs son site la seule clientle
rsidente de son tat dimplantation. Ce sera normalement le cas lorsque son site ne permet
pas louverture dune relation en ligne et oblige le client tablir avec lui la primo-relation
en face--face, par exemple en agence, ce qui facilite ainsi lidentification de son cocontractant.
Ici, la prestation sur Internet sapparente un service mis la disposition des clients du
prestataire pour faciliter leurs dmarches auprs de lui (services minitel ou audiotel existant).
Les offres qui y sont faites sont clairement cibles sur la clientle rsidente. Laccs ce
service pourra mme faire lobjet dune scurisation par code daccs dlivr par ltablissement
aprs la conclusion du contrat. Une autre possibilit serait que ltablissement indique
clairement sur son site que ses prestations sont rserves aux seuls rsidents de son tat, voire
quil effectue de surcrot (en ligne ou par courrier) une vrification de la localisation du client
ou de son ordinateur. La localisation de lordinateur du client par vrification de son adresse
lectronique sur le rseau rencontre toutefois des limites techniques lies aux nombreuses
possibilits de dissimulation de celle-ci, voire sa contrefaon (technique dcran par lemploi
de machines esclaves, reroutages en boucle...).
linverse, si le prestataire ne cible pas de faon restrictive sa clientle rsidente,
il est permis de sinterroger sur son intention de proposer ses services des non-rsidents.
Cette analyse peut tre mene lorsquil existe des lments permettant de caractriser lintention
manifeste de ltablissement dagir activement de faon transfrontalire. cet gard, la situation
des prestataires tablis dans des pays tiers lEspace conomique europen doit trouver un
cadre danalyse spcifique, dans la mesure o lexercice distance de leur activit sur le
territoire dun tat membre ne peut tre couvert par un principe de reconnaissance mutuelle
des agrments comme celui qui structure le march unique europen.
2. Faisceau dindices pour lagrment dun prestataire originaire dun pays tiers
cette fin, nous proposons de retenir, comme pour la mise en vidence dune
situation de libre prestation de services en Europe (voir 2.1.1.2.3), la dfinition dun
faisceau dindices pour dterminer si une offre de services ou lexcution dactivits
bancaires destination de la clientle franaise ncessite lagrment du prestataire
originaire dun pays tiers. Ce faisceau dindices sera destin apprcier le
comportement actif ou passif de loffre ou de la fourniture de services.
A ce titre, il nous semble que lapprciation des offres et des excutions de
services bancaires ou financiers transfrontaliers devrait sinscrire, au niveau
international, dans un cadre clair. Il sagirait de distinguer les offres et les excutions
de services qui sadressent directement aux rsidents, en raison de limplantation
gographique de loffre (succursale, filiale, serveur le cas chant) ou du
comportement actif du prestataire auprs des rsidents, des services qui sont adresss
aux rsidents dun pays donn depuis un pays tiers sans quils ne soient orients
spcifiquement en direction des rsidents de ce pays donn.
47
De mme, elle considre que les facteurs pouvant amener un rgulateur dcliner sa
comptencesont les suivants :
-
le site Internet contient la liste des juridictions dans lesquelles lmetteur ou le prestataire
de services financiers concern a t ou na pas t autoris proposer ses produits ou ses
services financiers;
48
Sur la base notamment de ces principes, certains rgulateurs ont prcis les conditions
qui devraient prsider au partage de comptence entre autorits. Ainsi la COB dans sa
recommandation n 99-02 relative la promotion ou la vente de produits de placement collectif
ou de services de gestion sous mandat via Internet prcise dans sa recommandation n1 le
public vis. Elle rappelle que la socit qui choisit douvrir un site Internet de promotion et/
ou de commercialisation de produits de placement collectif ou de services de gestion sous
mandat est tenue de veiller ce que son offre respecte les rgles en vigueur dans les territoires
viss. [] Afin que les rsidents des pays o il est possible de consulter le site ne soient pas
induits en erreur, la socit est invite prciser le champ gographique de son offre . Cette
recommandation rpond la position des autorits amricaines. La SEC dans sa
recommandation du 23 mars 1998, Use of Internet Web site to offer securities, solicit
securities transactions or advertise investment services offshore prvoit en effet des
procdures pour viter que les offres ne soient considres comme visant les rsidents
amricains. Le site web doit comporter un avertissement clair mettant en vidence que loffre
est dirige vers des pays tiers aux tats-Unis. Il doit galement mettre en place des procdures
permettant au prestataire de services dviter de fournir des services des personnes ayant des
adresses ou des numros de tlphone aux tats-Unis.
Cette analyse ne devrait pas cependant conduire priver un rsident dun pays donn
de la possibilit douvrir, par exemple, un compte en banque dans un tablissement dun pays
tiers, qui ne dispose pas dun agrment dans le pays du rsident. Ce rsident fait lui-mme la
dmarche douvrir ce compte ltranger, ltablissement ayant lgard des rsidents un
comportement passif. Aussi, il ne nous semble pas que cette analyse, et ce quelle implique en
termes de partage de responsabilits entre les autorits du pays dorigine et daccueil, soit
transposable en matire prudentielle.
49
2.2.1.
50
51
claire par le public. Un certain nombre dexigences dinformation sont mme prvues dans
le cas des professions rglementes telles que la banque et la finance: la mention sur le site
du titre professionnel et de ltat membre qui la octroy, la rfrence aux rgles
professionnelles de ltat membre dtablissement du prestataire de services sur Internet et
le moyen dy avoir accs.
Les autorits franaises sont galement sensibles la bonne information des clients
concernant la garantie accorde aux fonds ou aux titres grs par lintermdiaire dun
prestataire sur Internet. Cette position est conforme aux dispositions contenues dans la
proposition de directive relative la vente distance de services financiers en cours de
discussion devant le Conseil.
5. Identification du prestataire et renvoi par lien hypertexte au site de la Banque de
France-CECEI
Conformment aux directives en cours dexamen, il est propos de rendre
obligatoire laffichage, sur la page daccueil dun site bancaire ou financier dun
prestataire agr en France ou sur une page daccs facile, direct et permanent,
dun certain nombre de mentions de faon lidentifier clairement et renseigner la
clientle sur sa capacit dexercer:
nom du prestataire;
mention de lagrment dlivr par le CECEI, des services quil recouvre et renvoi
par lien hypertexte (dans des conditions de scurit adquates) au site de la
Banque de France-CECEI pour permettre au client de consulter la liste des
prestataires agrs. Ce renvoi pourrait tre matrialis par laffichage dun sigle
CECEI;
2.2.2.
52
2.2.2.1.
Ces oprateurs, qui se dveloppent aux tats-Unis, consolident sur une mme page
web les donnes financires dun client, trouves auprs des banques et gestionnaires de
comptes auxquels le client leur donne accs. Lintrt du particulier est ainsi dobtenir sur une
mme page, une concentration dinformation sur ses comptes personnels recueillie auprs de
plusieurs autres sites. Ce service peut tre complt de diverses facilits de-mails, de paiements
lectroniques ou de rservations. Pour le bon fonctionnement dun tel service, les tablissements
gestionnaires des comptes doivent donner leur accord, ce qui facilite la rcupration des zones
dcran concernes.
Les prestataires bancaires et financiers risquent ainsi cependant de favoriser la
dispersion des oprations de leur clientle et dy perdre une part de la connaissance quils
ont de leurs clients.
Le dveloppement dune telle activit prsente ainsi des risques quant la scurit des
sites agrgateurs, la confidentialit des informations personnelles transmises entre le teneur
de comptes et lagrgateur (mots de passe, numros de comptes, etc.), mais aussi quant la
responsabilit de ces sites dans les services qui sont proposs.
Certains dentre eux tendent en effet voluer de faon proposer au-del du service
de base de rcupration de donnes, une vritable gamme de services de conseil ou de paiement
distance. Conformment larticle 1er de loi bancaire, de tels oprateurs sont susceptibles
dtre soumis agrment en France dans la mesure o les oprations de banque comprennent
la mise disposition de la clientle ou la gestion de moyens de paiement. Les autorits bancaires
veilleront, en particulier, ce que les tablissements, par lintroduction de clauses contractuelles
entre ces derniers et les agrgateurs de donnes, ne perdent pas la connaissance de leurs clients,
exigence au titre du contrle interne et de la lutte contre le blanchiment.
2.2.2.1.2.
Les portails
Le dveloppement des portails, portes daccs au rseau offrant une gamme de services
varis, pourra terme reprsenter un point de passage plus ou moins oblig pour les
tablissements de crdit et les entreprises dinvestissement. En effet, Internet modifie
principalement les conditions dtablissement de la relation avec la clientle. La force
conomique des portails tient leur notorit et la concentration de services quils
fournissent. En matire bancaire ou financire aussi, leur notorit sur la toile peut
devenir suprieure celle des tablissements et fdrer une audience telle quil deviendra
conomiquement obligatoire aux prestataires de services financiers dy tre prsents. Ds
53
lors, les tablissements devront construire leur stratgie de fourniture de service en choisissant
une offre en propre ou intgre un portail.
Aujourdhui, le plus souvent encore locataires despaces publicitaires sur les portails
existant, certaines banques, craignant dtre rduites au rle de sous-traitant financier banalis,
cherchent chapper aux socits qui dveloppent ces sites en construisant leur propre systme.
En rgle gnrale, sils ne font que mettre en relation les clients et les prestataires en
vue de la conclusion doprations bancaires sans se porter ducroire, les portails sont des
intermdiaires en oprations de banque, tels que dfinis par les articles 65 et suivants de la loi
bancaire. En tant que tels, ils ne seraient pas soumis agrment. Cependant, certains sites
portails sont susceptibles deffectuer titre de profession habituelle des oprations de
banque et doivent ds lors disposer dun agrment dtablissement de crdit.
2.2.2.2.
Monnaie prive
54
2.2.3.
Le dveloppement des services financiers accessibles par Internet est si rapide quil est
impossible de connatre prcisment lensemble des sites existants. Il en rsulte quInternet
pourrait faciliter lexercice dactivits financires en dehors de tout cadre lgal. Outre le risque
de contrefaon de sites de prestataires reconnus, il est ainsi possible que des entits ouvrent
des sites Internet pour proposer des services bancaires ou dinvestissement en laissant entendre
quils sont rgulirement agrs. Si des oprations bancaires sont effectivement ralises sur
le territoire franais, ces personnes sexposent alors aux sanctions pnales prvues par les
articles 75 et suivants de la loi bancaire ou 82 et suivants de la loi de modernisation des
activits financires. En application de larticle 85 de la loi bancaire, la Commission bancaire
peut se constituer partie civile tous les stades de la procdure pour les infractions la loi
bancaire. En outre, lorsquelle a connaissance de faits susceptibles de revtir une qualification
pnale, elle transmet ces derniers au Procureur.
Des rflexions sont en cours au niveau international pour organiser la coopration
entre autorits afin de lutter contre lexercice illgal du mtier de banquier. Linformation
entre pays dorigine et pays daccueil (de fait) sera renforce selon des modalits qui restent
prciser.
55
pour le prestataire, qui doit connatre et encadrer juridiquement lexercice de son service
pour matriser le risque affrent une relation transfrontalire;
pour les autorits, tant dagrment que prudentielles, tenues de prendre en compte le risque
ainsi cr pour les prestataires, et ventuellement de contrler lapplication des mesures
impratives affrentes son activit ;
pour le consommateur qui, en contractant ltranger, peut se trouver priv des protections
prvues dans son propre systme juridique.
Il ne peut sagir ici de prsenter une analyse exhaustive des rgles de droit international
priv dont lapplication relve des tribunaux. Il est en revanche ncessaire de dterminer
lusage de lensemble des acteurs, dune part, une typologie gnrale des situations examiner,
et, dautre part, dans le cadre de cette typologie, une grille danalyse des situations concourant
la rsolution de chaque cas particulier.
56
la qualification par le juge saisi du conflit de lopration litigieuse puis lapplication des
rgles de conflit de loi telles quelles sont inscrites dans son droit national. En un certain
nombre de matires, les tats auront pu harmoniser leurs rgles au sein de conventions
constituant le droit international priv. Ces rgles de rsolution des conflits de lois permettent
darbitrer en faveur de lapplication du droit dun tat ou dun autre en fonction des
caractristiques de la relation contractuelle. Elles supposent de pouvoir dterminer la
localisation du prestataire, du client, ainsi que de la prestation.
3.1.1.
57
rgles de conflit de lois issues du droit international priv, qui permettent de dterminer
dans quelles conditions des dispositions du droit franais simposent un contrat soumis
un autre droit.
Ceci va notamment concerner les rgles dites dordre public et de police, au nombre
desquelles on trouvera sans aucun doute les rgles applicables en matire de protection du
consommateur. Ainsi, conformment au code civil, mme si le contrat prvoit lapplication
dun droit tranger, le juge franais peut carter des textes contraires aux dispositions
impratives de protection du consommateur franais.
A ce titre, il convient de souligner que, devant labsence dune dfinition de la notion
de consommateur, tant le Code de la consommation que la jurisprudence franaise se
concentrent sur une dfinition plutt troite (le particulier-client), qui diffre de la conception
usite en droit communautaire (conception large de la notion de consommateur qui inclut les
professionnels qui agissent en dehors de leurs spcialits).
En outre, force est de constater quil ny a pas un droit de la consommation spcifique
aux oprations bancaires et financires, les diffrentes rgles qui existent sont en partie
runies dans le Code de la consommation, et dans les rglements du Comit de la
rglementation bancaire, alors que dautres sont purement jurisprudentielles. Cependant, la
disparit des sources nenlve en rien lhomognit des objectifs poursuivis par les
diffrentes rgles: information du consommateur, encadrement de loffre, octroi de dlais,
lutte contre les taux abusifs. Particulirement importantes pour le commerce lectronique,
on recense les dispositions suivantes:
-
58
3.1.2.
En raison dune certaine harmonisation des rgles de conflit, peu importe pour la
dtermination du droit applicable que ce soit le client ou le prestataire qui soit situ hors de
France et lintrieur de lUnion.
La dtermination du juge comptent sera effectue selon les principes poss par la
Convention de Bruxelles de 1968 concernant la comptence judiciaire et lexcution
des dcisions en matire civile et commerciale. Sa section 4, comptence en matire
de contrats conclus par les consommateurs, indique que le consommateur peut, sa
convenance, attraire lautre partie soit devant le tribunal de son propre domicile, soit
devant celui du domicile du dfendeur.
En ce qui concerne le droit applicable pour les tablissements de crdit qui relvent de
pays de lUnion europenne, les deux directives de coordination bancaire du 12 dcembre
1977 et 15dcembre 1989 ont pos le principe que tout tablissement de crdit agr dans
lun quelconque des autres tats membres pourra y exercer ses activits dans tous les autres
soit par voie dtablissement (succursale), soit par voie de libert de prestation de service et
ce, normalement, dans le respect des seules rgles dorigine. Cependant, le droit applicable
aux relations contractuelles entre un client ressortissant europen et un tablissement qui
exercera en libre prestation de services ou par voie dtablissement sera dtermin par les
rgles de conflits prvues par les Conventions internationales.
Concernant loffre de service et des produits bancaires et financiers sur Internet, et
sauf lorsquil existe des rgles du droit communautaire ventuellement applicables dans des
cas particuliers, il faut se rfrer aux rgles de conflits poses par la Convention de Rome du
19 juin 1980 sur la loi applicable aux obligations contractuelles.
La Convention de Rome prvoit lapplication de la loi du pays avec lequel le contrat
prsente les liens les plus troits (loi du pays o la partie fournit la prestation caractristique,
ou a sa rsidence habituelle ou son tablissement) dfaut de choix exprs de la loi du contrat.
Sera donc privilgie la loi du lieu dexcution de la prestation, le plus souvent confondue
avec la loi du lieu dtablissement du prestataire.
Toutefois, le prestataire, qui semble ainsi en tout tat de cause matriser le choix de
la loi applicable, quil linsre expressment dans ses conditions gnrales, ou quil laisse
sappliquer les rgles de droit international priv, doit tenir compte du fait que des rgles
exognes peuvent venir infrer:
-
via les rgles dintrt gnral applicables dans le cadre de la libre prestation de services
(voir la communication interprtative de la Commission europenne de juillet 1997);
par le biais de larticle 5 de la Convention de Rome du 19 juin 1980 qui prvoit que le
choix de la loi par les parties ne doit pas avoir pour consquence de priver le consommateur
de la protection que lui assurent les dispositions impratives de la loi du pays de sa rsidence
habituelle;
59
3.1.3.
Cest la rgle de conflit du juge saisi du litige qui dsignera le droit applicable. Pour ce
qui concerne la dtermination du juge comptent, il convient de rappeler que larticle 14 du
Code civil franais permet toujours dans ce cas au plaignant rsident franais, quil soit
prestataire ou client, de saisir un juge franais dune action en responsabilit contractuelle. En
raison des difficults faire excuter un jugement ltranger, cette procdure pourra tre
trs alatoire, surtout si le juge franais se voit conduit appliquer un droit tranger.
En revanche, il convient dappeler lattention du prestataire franais sur lapplication
qui pourrait lui tre faite de larticle 15 du Code civil, qui permet un client, mme ayant
contract ltranger, dattraire ledit prestataire devant un tribunal franais, dont les dcisions
pourront bien entendu faire lobjet de voies dexcution en France.
Nonobstant les dispositions susvises du Code civil, si le juge comptent est le juge
du ressortissant ayant sa rsidence lextrieur de lUnion europenne, il appliquera sa
propre rgle de conflit. Cette dernire peut dsigner soit la loi du for, soit la loi dsigne par
le contrat, soit une loi de police considre comme telle par le juge. Bien que chaque tat ait
ses rgles de conflit propres, la tendance dominante est gnralement de privilgier la loi de
lexcution du contrat donc la loi du prestataire.
En revanche, si cest le juge franais qui est saisi dun litige opposant un ressortissant
franais un prestataire tranger lUnion europenne, il se rfrera aux rgles de conflits de
la Convention de Rome pour dterminer le droit applicable.
Les professionnels comme les consommateurs sexposent dans ce type de relation
contractuelle se voir opposer des rgles moins protectrices que celles prvues dans
lUnion europenne. Ils doivent tre vigilants et sinformer sur le systme juridique de
ltat de leurs cocontractants.
60
dautre part, sur le contenu de leur engagement qui doit pouvoir tre connu et accept un
instant donn par lensemble des acteurs ( ce stade, aucune distinction nest faite entre
acte et fait juridique, engagements unilatraux ou synallagmatiques).
Ds lors, une bonne connaissance non seulement du juge comptent mais galement
du systme de preuve quil est susceptible daccepter est essentiel.
Jusqu prsent, pour les oprations conclues en matire civile et suprieures un
certain montant (5000 FF), lacceptation de la preuve lectronique ncessitait la dfinition
dun cadre contractuel entre les acteurs concerns (convention de preuve), sans que ceux-ci
aient labsolue certitude que les moyens mis en uvre soient reus par le juge. Dsormais la
61
3.2.1.
62
manuscrite. Ces spcifications sont reprises dans les annexes I (exigences concernant les
certificats qualifis) et II (exigences concernant des prestataires de services de certification7
dlivrant des certificats qualifis) de la directive. Lannexe III, quant elle, traite des dispositifs
de cration de signature.
La directive dfinit deux niveaux de signature: la signature simple et la signature
avance. La signature simple nest pas dnue defficacit juridique mais elle ne bnficie
pas de la prsomption de fiabilit contrairement la signature avance. La preuve de cette
fiabilit doit tre apporte devant le juge en cas de litige.
Exigences gnrales de la directive signature lectronique
D
I
R
E
C
T
I
V
E
Certificats
qualifis
(Annexe I)
PSC
dlivrant des
certificats
qualifis
(Annexe II)
Signature
Secteur
priv
Dispositifs
scuriss de
cration de
signature
(Annexe III)
lectronique
E
E
S
S
I
Standard visant
les
PSC
Recevabilit
comme preuve
en justice au
mme titre
que la
signature
manuscrite
Standard
visant les dispositifs
scuriss de cration de
signature
63
LICTSB a t mandat par la Commission Europenne ainsi que par les tats Membres
travers leur groupe dexperts en scurit des systmes dinformation (SOGITS), pour faire
linventaire des travaux de normalisation raliser pour acclrer le dveloppement des solutions
de signature lectronique (EESSI phase 1), et pour organiser les tches de normalisation juges
prioritaires (EESSI phase 2). Cette initiative sarticule autour de trois axes:
-
la DCSSI travaille actuellement dans plusieurs directions avec les industriels en vue
dalimenter les rflexions europennes;
lvolution des politiques de certification actuelles destines aux PSC mettant des
certificats pour le compte des administrations (dites PC2), pour tenir compte du retour
dexprience obtenu dans le secteur de la sant et des tldclarations;
3.2.1.2.
3.2.1.2.1.
La loi du 13 mars 2000 consacre la possibilit pour deux parties de conclure des
conventions sur la preuve. Larticle 1316-2 du code civil dispose ce titre que [l]orsque la
loi na pas fix dautres principes, et dfaut de convention valable entre les parties, le juge
rgle les conflits de preuve littrale en dterminant par tous les moyens le titre le plus
vraisemblable, quel quen soit le support .
En vertu de larticle 1316-1, une convention de preuve nest plus indispensable pour
que la preuve lectronique soit recevable en matire civile.
Les conventions de preuve demeurent cependant utiles:
-
64
pour rgler les conflits de preuve (article 1316-2), notamment pour permettre aux parties
pour que soient recevables des procds de preuve ne bnficiant pas de la prsomption de
fiabilit de larticle 1316-4.
Il faut noter que les conventions de preuve peuvent parfois aboutir la constitution
unilatrale de la preuve par le professionnel exploitant le systme informatique:
-
mettant en situation dinfriorit le client qui nest pas toujours mme de vrifier
lengagement quil a pris lorsque le systme ne dlivre pas de trace ;
transfrant sur le client les risques ns des ventuelles faiblesses existant dans la scurit
du systme informatique.
La loi n95-96 du 1er fvrier 1995 concernant les clauses abusives et la prsentation
des contrats prend en compte ce problme en dfinissant les clauses abusives comme des
clauses qui ont pour objet ou pour effet de crer au dtriment du non-professionnel ou du
consommateur, un dsquilibre significatif entre les droits et les obligations des parties au
contrat. La sanction civile pour de telles clauses est alors la nullit. En annexe cette loi
figure une liste indicative de ces clauses. Sont notamment vises celles qui ont pour effet de
supprimer ou dentraver lexercice dactions en justice ou des voies de recours par le
consommateur, notamment en limitant indment les moyens de preuve la disposition du
consommateur ou en imposant celui-ci une charge de preuve qui, en vertu du droit applicable,
devrait normalement revenir une autre partie au contrat.
3.2.1.2.3.
Le dcret fixe les conditions dans lesquelles la fiabilit dun procd de signature
lectronique est prsume (jusqu preuve contraire). Il revient ainsi celui qui conteste la
validit dune signature ralise selon un procd respectant les conditions fixes dans le
dcret de faire la preuve de son manque de fiabilit. Inversement, une signature lectronique
est recevable ds lors quelle est ralise suivant un procd fiable didentification garantissant
son lien avec lacte auquel elle sattache. Il revient celui qui revendique des droits dcoulant
de cet acte de le dmontrer lorsque le procd de signature utilis ne remplit pas les conditions
fixes par le dcret (il ny a pas de prsomption favorable dans ce cas).
La fiabilit dun procd sera prsume lorsque deux conditions sont remplies:
-
65
Accrditeur FR (COFRAC)
66
3.2.2.
67
(pays dtablissement du prestataire de services en ligne) mais non au droit franais, qui
demeurera applicable la surveillance prudentielle du prestataire.
Par ailleurs, le principe de lapplication du droit coordonn du pays dtablissement
du prestataire de service en ligne ne sapplique pas pour toute une srie de domaines,
explicitement numrs dans lannexe de la directive. Ainsi des obligations contractuelles
concernant les contrats conclus par les consommateurs.
3.3.2.
3.3.3.
68
DEUXIME PARTIE
69
71
octroi de crdits et de garanties: sous rserve des formalits lgales imposes sur certains
types doprations (notamment les crdits immobiliers);
Ces services pourraient dailleurs tre tendus dautres types de services bancaires et
financiers, par exemple:
-
Les services existants ou en projet sur Internet ne font en revanche apparatre aucun
service ou opration ayant une nature particulire. Tout au contraire, les prestataires engags
sur ce moyen dchange mettent plutt en avant la possibilit de raliser par Internet toutes les
oprations traditionnellement effectues au guichet, voire par courrier, en bnficiant des
avantages dun change automatique: rapidit, faibles cots, et mme scurit.
72
risque de crdit pour les concours octroys sous quelque forme que ce soit (prts, avances,
dcouverts autoriss en comptes, crdits revolving, facilits de trsorerie, voire garanties);
73
Internet dcloisonne les moyens dchange et de traitement des donnes. Les rseaux
internes et externes reposent en effet dsormais avec Internet sur la mme technologie TCP/
IP. Les techniques utilises sur ces terminaux lextrieur de ltablissement et le rseau
public et les techniques utilises en interne au sein de ltablissement sont identiques. En
outre, les quipements terminaux ne sont plus spcifiques: ordinateurs personnels banaliss,
tlphones portables, connectables depuis nimporte quelle localisation.
74
Internet rend possible le traitement entirement automatis dun nombre trs lev
dchanges par unit de temps et rend enfin beaucoup plus probables (en frquence et en
amplitude) les attaques. Dcloisonnement et nombre considrable dinternautes appel se
dvelopper la faveur de laccs au rseau par les tlphones ou autres appareils domestiques
et mobiles se conjuguent pour rendre les systmes dinformation plus vulnrables.
En outre, lopportunit ou mme la ncessit dexternaliser linformatique, de dlocaliser
ou dclater le systme dinformation sont dsormais plus grandes quauparavant. Or, dans de
telles situations, il peut savrer plus difficile de surveiller, de contrler et de ragir directement
des attaques ou des dysfonctionnements. La gestion du systme dinformation peut tre
mme compltement externalise. Le contrle interne se doit, dans cette perspective, dtendre
son champ daction.
Un site peut tre dans lincapacit de rpondre aux appels des clients. Les attaques de
dni de service, qui visent saturer le serveur sous un flot de requtes, se sont rcemment
dveloppes. Tout site web a en effet une capacit maximale daccs en cas de connexion
simultane. En outre, tous les jours, des failles potentielles dans des systmes et/ou des produits
sont mises en vidence sur Internet. Aussi, tant donn la nature volutive des attaques en
provenance dInternet, lvaluation de la politique de scurit doit tre actualise de faon
rgulire et dynamique.
5.2.2.
5.2.3.
En mars 1998, le Comit de Ble a publi un rapport: Risk management for electronic
banking and electronic money activities. Ce rapport recense -sans que la liste ait la prtention
de lexhaustivit- les risques auxquels sont soumis les banques lectroniques. La teneur des
risques oprationnels et du risque de rputation est particulirement souligne.
Le risque oprationnel est dclin en plusieurs risques. Ltablissement doit faire face
un certain nombre de menaces: accs non autoris dans le systme informatique, injection
75
de virus, fraudes des employs. Ce risque est induit par certaines vulnrabilits: obsolescence
du systme, dfaillances des fournisseurs daccs, imprudences des clients, qui utilisent de
linformation personnelle (numros de carte de crdit ou numros de comptes bancaires) dans
des transmissions non scurises.
Afin de rduire le risque oprationnel, plusieurs mesures sont prconises:
-
Le risque de rputation est galement soulign. Les clients face des dfaillances du
systme -diffusion large et rapide de fausses informations, usurpation didentit des fins
malveillantes, attaque de sites- peuvent quitter la banque en masse.
Le Comit de Ble devrait, dans le courant de lanne 2001, mettre nouveau des
recommandations en matire de matrise des risques des banques lectroniques. Les diffrents
principes en matire de contrle interne, dexternalisation, de scurit et de respect des donnes
transmises seront dclines en codes de bonne conduite. Laccent sera mis en particulier sur la
scurit et le respect de la vie prive des clients, sources de risques juridiques et de rputation,
qui peuvent se propager lensemble de la place.
avoir lassurance que les messages quil envoie nont pas t altrs dans le transport
(intgrit);
avoir lassurance que ces messages nont pas t ports indment la connaissance de
tierces parties (confidentialit);
et avoir lassurance que linterlocuteur ne peut nier tre lauteur dun message (nonrpudiation).
76
A lheure actuelle, la plupart des solutions utilises par les fournisseurs de services
bancaires ou financiers en ligne pour leurs relations avec les particuliers (et dans certains cas
les professionnels) ne permettent pas de garantir la non-rpudiation8 , dans la mesure o les
secrets (code confidentiel, cl prive) confis au client sont stocks ou transitent en clair dans
son PC qui constitue un environnement vulnrable aux attaques depuis le rseau (chevaux de
Troie et virus). Notons que dans le domaine du B to C (Business to Consumer), la solution
cyber-Comm utilisant un lecteur scuris de carte puce permet dassurer la non-rpudiation
des paiements par cartes bancaires sur Internet.
Dans cette situation, les clients peuvent contester les oprations effectues rception
des relevs correspondants. Dans lincapacit dopposer leurs clients la preuve de leur
implication, les tablissements nont dautre choix que dannuler la transaction en subissant
ventuellement les pertes correspondantes ou daller au contentieux, en prenant un risque
dimage significatif.
Les infrastructures de cls publiques (voir dans le glossaire cryptographie clef
publique) dans lesquelles interviennent des autorits de certification, qui mettent des
certificats permettant de scuriser la transaction, et les cartes microprocesseur sont des
contributions essentielles la couverture de ces besoins.
Il convient toutefois de signaler que tous les pays nont pas la mme aversion au risque
et certains peuvent saccommoder dun environnement o les transactions sont rpudiables. Il
reste que cette incertitude juridique a un cot qui est factur au client.
5.3.2.
Pour scuriser les changes, ont t principalement utiliss jusqu ce jour des systmes
cls secrtes, dans lesquels chaque couple metteur/rcepteur possde sa propre cl secrte.
Lmetteur utilise la cl pour chiffrer tout ou partie du message. Le rcepteur, dchiffrant le
message, sassure que le message a bien t mis par le bon metteur. Simultanment, le
chiffrement du message garantit que celui-ci ne peut tre intercept par un tiers. Ce systme
est mal adapt Internet. En effet, dans une architecture dcentralise, chaque fois que lon
cre un nouveau couple metteur/rcepteur, il faut crer une nouvelle cl secrte. Si un utilisateur
doit communiquer avec quelques centaines de correspondants, il lui faudra alors grer un
nombre quivalent de cls et les faire parvenir de faon sre.
En revanche dans une infrastructure cl publique, chaque acteur dispose dun couple
cl scrte/cl publique. La cl prive est garde secrte pour quune seule personne puisse
lutiliser. A linverse, la cl publique est connue et utilise par tous. Ce couple de cls ou bicl est conu de telle sorte quun message crypt en utilisant lune des cls peut tre dcrypt
en utilisant lautre, et seulement lautre. Lutilisation de la cl prive gnrera la signature
dun document. Tout lecteur de ce document ayant accs la cl publique de lutilisateur
sera alors mme de vrifier cette signature. Ce mcanisme prsente une analogie avec
lacte de signature manuscrite.
8) Impossibilit pour lutilisateur ou le prestataire de nier quil est lauteur de la transaction et que celle-ci existe bien.
77
5.3.3.
5.3.4.
Dautres difficults techniques restent rsoudre si lon cherche assurer la nonrpudiation des oprations. En particulier, la conservation des secrets (cl prive, code
confidentiel) permettant lutilisateur de donner son consentement aux transactions ne peut
se faire pour linstant de faon sre dans un environnement de type PC o des virus ou des
chevaux de Troie, dont le seul but est de capturer ces secrets, peuvent tre tlchargs par
mgarde. La mise en oeuvre dune scurit satisfaisante ncessite lutilisation de dispositifs
matriels spcifiques, savoir une carte microprocesseur et un lecteur scuris. Aux PaysBas, Interpay met en uvre une solution similaire Cyber-Comm. En Allemagne, la BfG
BANK et la RVB MAINZ ont toutes deux retenu depuis avril 1998 la solution de la carte puce
comme interface de scurit, la suite de la SPARDA BANK de Hamburg, qui la premire a
dvelopp ce projet. Les banques franaises ont pris de lavance dans ce domaine avec CyberComm et sa solution scurise de paiement par cartes bancaires fonde sur le protocole SET.
9) Les diffrentes versions du protocole SSL remplissent des fonctionnalits diffrentes. Si le protocole SSL V.2. permet dauthentifier le
serveur du commerant ou de la banque avec lequel il entre en relation, mais pas le contraire, le protocole SSL V.5. permet didentifier le
client et le serveur. Dans ce cas, le client doit possder un certificat produit soit par la banque soit par un PSC externe.
78
5.3.5.
Les proccupations des autorits bancaires obissent une double logique. Il sagit de
sintresser, dune part, au titre de larticle 4 de la loi du 4 aot 1993, aux proccupations lies
la scurit des paiements, qui font actuellement lobjet dune tude prospective entre Banques
centrales au niveau international, et dautre part, la scurit de la relation entre ltablissement
de crdit ou lentreprise dinvestissement et ses clients, o le point dappui rglementaire est
larticle 14 du rglement 97-02 sur le contrle interne et larticle 15 de la loi bancaire.
Larticle 14 du rglement n 97-02 relatif au contrle interne dispose que:
Les tablissements de crdit dterminent le niveau de scurit informatique jug
souhaitable par rapport aux exigences de leurs mtiers. Ils veillent au niveau de scurit
retenu et ce que leurs systmes dinformation soient adapts. Le contrle des systmes
dinformation doit notamment permettre:
a)
b)
de sassurer que les procdures de secours informatique sont disponibles afin dassurer
la continuit de lexploitation en cas de difficults graves dans le fonctionnement des
systmes informatiques.
79
le placement consiste introduire les fonds provenant dun crime ou dun dlit dans le
systme bancaire, notamment par le moyen de dpts en espces;
la dissimulation consiste masquer lorigine criminelle des fonds, grce des virements
et montages financiers;
la conversion consiste investir les fonds dissimuls dans les circuits conomiques licites,
par le biais dinvestissements divers.
5.4.1.
Les oprations bancaires effectues sur Internet ne paraissent pas prsenter de risques
de nature spcifique en matire de blanchiment dargent. En revanche, trois facteurs principaux
accroissent les risques traditionnels: facilit daccs au rseau sans contrainte gographique,
matrielle ou temporelle, dmatrialisation, et rapidit des oprations.
Ces trois facteurs, dans un contexte de traitement automatis des oprations, rendent le
contrle des flux financiers plus complexe, tant au moment de lentre en relation avec le
client que lors de la ralisation des transactions financires.
5.4.1.1.
fausse identit pour une personne physique, avec production de faux documents justificatifs;
identification dune personne morale dont lexistence juridique relle ne peut tre vrifie
ou qui exerce une activit fictive;
80
ouverture de compte au nom de structures juridiques domicilies dans des territoires dans
lesquels des dispositions ont t prises pour garantir lanonymat de leurs ayants droit;
Les services financiers offerts sur Internet se distinguent de ceux offerts distance par
tlphone ou par courrier par la dmatrialisation et lautomatisation totale de la relation avec
le client.
Le risque de blanchiment est dautant plus fort que les oprations financires utilises
cet effet (oprations en espces et scripturales) seffectuent dans un processus entirement
automatis avec des oprateurs nayant pas de relation personnelle avec leur gestionnaire de
dossier, contrairement ce qui se produit dans une banque traditionnelle.
Or, ce qui peut caractriser une banque Internet cest dune part la possibilit offerte
au client - et la volont de ce dernier- de traiter lui-mme ses oprations distance, et dautre
part pour la banque Internet une rduction considrable des cots de gestion en personnel.
Il est craindre que quelques gestionnaires de dossiers soient en charge dun nombre
considrable de clients au point de ne pas connatre suffisamment leur clientle, mme sils
sont dots de systmes de surveillance. Dans ce contexte, certains clients peuvent profiter de
la dpersonnalisation de leurs relations avec ltablissement teneur de compte pour effectuer
des oprations de blanchiment.
5.4.1.2.1.
81
En outre, mme dans lhypothse o selon des accords passs entre une banque
Internet et une banque traditionnelle, cette dernire assurerait un service de retraits ou de
versements despces au profit des clients ayant ouvert un compte auprs de la banque
Internet, il subsisterait nanmoins un risque li la non-connaissance du client et de son
profil de compte par la banque traditionnelle, ou simplement une mauvaise application des
mesures anti-blanchiment par la banque traditionnelle.
Il reste que lintroduction massive despces dans le circuit bancaire par des
blanchisseurs seffectue plutt auprs de guichets de banques traditionnelles, situes de
prfrence dans des zones peu contrles, notamment les paradis rglementaires. Les fonds
font ensuite lobjet de transferts par le rseau bancaire traditionnel ou Internet.
5.4.1.2.2.
82
Est vise ici, non pas lutilisation par les blanchisseurs de services bancaires offerts
dautres fins que le blanchiment sur Internet, mais la mise en uvre grce Internet des
techniques traditionnelles de blanchiment que sont lutilisation des paradis fiscaux ou la cration
de socits crans:
-
les services bancaires offerts sur Internet par des banques installes dans les territoires
non coopratifs, o la lgislation sur la lutte contre le blanchiment est insuffisante ou
inexistante et la lgislation sur le secret bancaire trs protectrice du client ;
les sites Internet proposant de crer des socits dans des paradis fiscaux, et offrant divers
services bancaires off-shores ou des services de domiciliation et de prte-noms comme
actionnaires ou dirigeants de socits.
Internet permet un accs plus rapide et plus facile ces services et constitue ds lors un
risque non ngligeable de dveloppement des oprations de blanchiment.
5.4.2.
Monnaie lectronique
Est dsigne sous le vocable de monnaie lectronique une crance sur lmetteur de
cette monnaie, incorpore dans un support lectronique et accepte en paiement par des tiers
autres que lmetteur. Le support lectronique peut tre une carte microprocesseur, et lon
parle alors de porte-monnaie lectronique (PME). Lorsquil sagit dun serveur plac sous
la responsabilit de lmetteur et accessible depuis un PC quip dun logiciel adquat par
lintermdiaire du rseau Internet, on parle de porte-monnaie virtuel (PMV).
5.4.2.1.
83
fonction de transfert de carte carte, peuvent servir des oprations de blanchiment, car ils
permettent de dissimuler des revenus ou de transfrer des fonds, mais ce risque peut tre
limit par certaines caractristiques des PME, telles que le plafond de rechargement de la
carte, la limitation du nombre de rechargements possibles de la carte, la limitation du nombre
maximum de cartes par client, les modalits de chargement des PME.
Certaines de ces caractristiques sont dlibrment choisies par les promoteurs des
PME eux-mmes; dfaut, les autorits devront sinterroger sur lopportunit de les rendre
obligatoires.
Pour sa part, la Banque de France considre quil est souhaitable de rendre obligatoire
lidentification des personnes auxquelles est dlivr un PME dont la capacit maximale excde
un certain montant et/ou lidentification des clients effectuant des oprations dacquisition ou
de rechargement de monnaie lectronique excdant un certain montant autrement que par dbit
dun compte ouvert auprs dun tablissement de crdit assujetti une obligation didentification.
5.4.2.2.
Les porte-monnaie dits virtuels (PMV) permettent dutiliser une rserve de valeur pour
lachat de services offerts sur Internet partir des ordinateurs personnels. Le risque dutilisation
de ces PMV par des blanchisseurs est li au fait que la rserve de valeur est dtenue de manire
anonyme. Elle pourrait donc tre utilise de faon anonyme, pour acqurir des actifs (financiers
notamment) ou transfrer des fonds.
Ce risque apparat cependant limit puisque que cette rserve de valeur est constitue ou
reconstitue par dbit dun compte bancaire (production dun numro de carte bancaire pour
lopration de chargement ou rechargement); il demeure que cela ne garantit pas que le titulaire
dudit compte soit identifi mais seulement une traabilit de lopration. Il nest dailleurs pas
exclu que le chargement ou rechargement dun PMV puisse provenir dun PME lui-mme anonyme.
On doit souligner cet gard que, conformment la directive n 2000/46 du 18
septembre 2000 concernant laccs lactivit des tablissements de monnaie lectronique et
son exercice, les metteurs de PMV et de PME devront avoir le statut dtablissement de
crdit et tre assujettis ce titre aux obligations didentification de leurs clients ainsi qu la
dclaration de soupon prvues par la directive n91/308 du 10 juin 1991 relative la
prvention de lutilisation du systme financier aux fins de blanchiment des capitaux.
Une autre attnuation du risque susvis provient de la capacit maximale de chargement
des PMV, qui limite la nature et le montant des transactions pouvant tre ralises au moyen
de cet instrument. Cette contrainte rsulte de la pratique actuelle mais non dune obligation
lgale.
Enfin, il convient de signaler un risque de drive qui consisterait offrir aux titulaires
des PMV dautres services permettant de mobiliser les fonds concerns, que le seul service de
paiement ddi; on verrait alors apparatre de vritables comptes bancaires anonymes.
84
85
TROISIME PARTIE
87
89
recommandations de bonnes pratiques les rgles relatives au contrle interne, fixes par le
rglement n 97-02 du Comit de la rglementation bancaire et financire.
7. Document relatif la stratgie commerciale Internet de ltablissement
A ce titre, ltablissement devrait formaliser sa stratgie commerciale sur
Internet, dans un document valid par les organes excutif et dlibrant, qui
dvelopperait en particulier le plan de dveloppement de lactivit, en termes de
services offerts, de clientle, de volume dactivit et de rentabilit, en tenant compte
de manire exhaustive des facteurs de risques techniques et commerciaux. Sur la
base dhypothses prudentes, ltablissement validerait ainsi le montant des fonds
propres requis pour assurer la prennit de lactivit, y compris dans le cas dune
situation de crise, technique ou commerciale.
A tout le moins, trois types de risques de crise devraient tre pris en compte:
le risque commercial de forte chute du produit net bancaire, le risque datteinte
limage et la rputation de ltablissement suite des problmes techniques, le
risque technologique dinadaptation du systme face la croissance de lactivit.
Il est souhaitable que ce document relatif la stratgie commerciale soit mis
jour et discut chaque tape du projet.
Ltablissement devrait galement avoir mis par crit sa politique de matrise des risques
(de contrepartie, juridique et technique) et lavoir fait valider par son organe dlibrant. Le
responsable du contrle interne devra recevoir une comptence explicite et exhaustive sur
toutes les questions relatives la scurit des oprations sur Internet. Ce document servira de
rfrence pour apprcier les dispositifs de scurit mis en uvre (voir point 8.1.1.).
Des recommandations plus spcifiques relatives la matrise du systme dinformation,
la scurit juridique, la matrise du risque sur les clients et les contreparties, au contrle de
la rentabilit des oprations et la lutte contre le blanchiment sont exposes ci-aprs.
90
certains intermdiaires agrs, visant le march de lInternet, ont opt pour une offre de
type discount broker, cest--dire des tarifs (gnralement forfaitaires) plus attractifs
que ceux jusqualors le plus frquemment pratiqus. Loffre de services dinvestissement
peut tre complte par un accs des donnes conomiques et financires en provenance
de fournisseurs dinformations connus. En revanche, dautres intermdiaires Internet
privilgient une offre de services plus large, associant par exemple plusieurs services
dinvestissement et la mise disposition danalyses financires, de forums ou doutils de
simulation, daide la dcision et la gestion de portefeuille;
un grand nombre dtablissements a retenu une organisation fonde sur un large appel
lexternalisation ou au dveloppement de partenariats avec dautres prestataires de services
dinvestissement ou informatiques.
91
tout dabord, sil est indniable que la nouvelle conomie a un potentiel de croissance trs
fort, lacquisition et la conservation de parts de march, notamment pour les nouveaux
entrants, restent difficiles valuer et risquent dtre dun cot croissant;
Ces spcificits des intermdiaires Internet se traduisent sur le plan financier par une
structure des charges o les frais gnraux (publicit et informatique) sont en gnral de
montants trs levs.
Les autorits dagrment sont amens sassurer que les tablissements disposent de
moyens financiers adapts la nature et au volume des activits envisages. En tout premier
lieu, les montants de capital minimum prvus par la rglementation doivent tre respects.
Ces minima varient selon le type de statut demand (35 MF pour les banques, 12,5 MF pour
les socits financires, de 0,5 MF 12,5 MF pour les entreprises dinvestissement en fonction
des services exercs). De plus, lactivit de teneur de compte-conservateur ncessite un capital
minimum de 25MF.
Dautre part, les autorits dagrment sassurent que le niveau de fonds propres permet
le respect des normes de gestion dfinies par le Comit de la rglementation bancaire et
financire.
Il a ainsi t constat que les projets dentreprises dinvestissement exerant par Internet
requerraient, dans la quasi totalit des cas, des moyens initiaux en capital largement suprieurs
au capital minimum rglementaire afin de respecter, notamment, la rgle imposant un rapport
minimal de 25% entre les fonds propres et les frais gnraux conformment la norme
europenne. En outre, le retour sur investissements ntant gnralement pas programm avant
la deuxime anne au plus tt, une mise de fonds initiale consquente apparat dautant plus
ncessaire.
Aussi les activits menes via Internet, lorsquelles ne sont pas dveloppes au sein de
groupes bancaires existants, sontelles proposes par des tablissements qui sappuient assez
frquemment sur un actionnariat diversifi, pouvant comprendre des personnes physiques
lorigine du projet, mais aussi des associs caractre institutionnel (bancaire ou financier)
ou issus dautres secteurs professionnels (de linformatique en particulier), ayant la capacit
dapporter le soutien financier ncessaire pour faire face lvolution des activits ou
dventuelles difficults.
Outre la vrification de cette possibilit de soutien financier qui peut tre formalise
par un engagement spcifique, les autorits dagrment sassurent galement que la qualit
92
93
7.2.2.
dune nouvelle entreprise (y compris filiale spcialise de groupe): Internet est le centre
de lactivit, et, sagissant dune entreprise nouvelle ou en croissance, la question principale
porte sur les prvisions dactivit de ltablissement, qui conditionnent le dlai pour parvenir
la rentabilit;
dune extension dactivit dun tablissement ancien: dans ce cas, Internet est plutt un
canal complmentaire offert la clientle existante, et accessoirement le moyen de conqurir
des clients nouveaux. Le problme est plutt de distinguer, parmi les cots et les produits
de lactivit gnrale, lapport particulier de lactivit Internet.
Dans les deux cas toutefois, la rentabilit des fonds importants engags est une question
importante, voire cruciale. Elle doit tre considre comme stratgique et retenir lattention
de la direction de ltablissement. Les recommandations suivantes pourraient tre formules
cet gard.
Ltablissement devrait tenir compte, pour calculer la rentabilit effective et estimer la
rentabilit prvisionnelle de ses oprations par un canal automatis, de lensemble des lments
de cots et surtout de risques particuliers ce mode de communication, quil met en regard
des avantages et conomies attendues (le cot stratgique du dfaut de dveloppement de
lactivit doit tre valu). En particulier, la rentabilit calcule inclut:
-
le risque de fraude. Ltablissement doit prendre en compte la fois les dommages financiers
directs causs par la fraude et ses consquences en termes dimage.
Il est raisonnable de complter la rflexion par ltude de scnarios de crise, sur la base
dhypothses extrmes, impliquant des moyens importants pour rtablir la continuit de lentreprise
et sa crdibilit vis--vis de ses clients et partenaires. Les hypothses pourraient tre:
-
94
une campagne systmatique de dnigrement mene par des concurrents sur la base de
problmes techniques, rels ou imaginaires.
95
8.1.1.
96
ltablissement sur Internet, tant loccasion du lancement de lactivit quau moment de son
extension dautres services ou clientles.
Lorsque la dimension de lactivit Internet ne justifie pas un examen dtaill par lorgane
dlibrant de ltablissement, ces documents sont tout le moins valids par les instances appropries
(par exemple un comit de pilotage), bnficiant dune dlgation claire de lorgane excutif.
8.1.2.
Il devrait avoir un droit de regard et une responsabilit clairement tablis sur lactivit
Internet, en particulier lorsquelle est en tout ou partie externalise. Ce domaine fait partie
intgrante de son programme de contrle, y compris quand ces fonctions sont externalises. Il
intgre dans son rapport annuel une information sur la scurit de lactivit.
Lorsquil ne peut procder lui-mme aux contrles correspondants, il devrait sentourer
de comptences techniques. Cette comptence est lvidence acquise au niveau du responsable
de la scurit des systmes dinformation, mais il convient alors de prendre garde au principe
de sparation des tches, qui veut que les acteurs du contrle ne soient juges et parties.
8.1.3.
La multiplicit des projets au sein dun mme tablissement, ou a fortiori dun groupe,
peut justifier quun responsable unique de la coordination soit nomm, rattach un niveau
de dcision suffisamment lev, et toujours du ct utilisateurs de ltablissement. Il est
utile que sa mission inclue, au del de la coordination du pilotage des diffrents projets, la
garantie que les exigences de ltablissement en matire de contrle interne sont bien prises
en compte par chaque projet. Son ordre de mission peut utilement formaliser, en ce sens, les
relations avec le responsable du contrle interne.
97
pour chaque produit, les rgles relatives lexercice de lactivit envisage (notamment
lobtention dun agrment). Lorsque le droit local prvoit des restrictions daccs de
certaines catgories de clients au produit en cause, ltude doit indiquer les mesures qui
doivent tre prises pour viter dentrer en relation avec eux sur ce produit (par exemple
disclaimer ou encore blocage daccs);
les rgles relatives la capacit des personnes effectuer des oprations bancaires et
financires (condition de majorit ou de capacit juridique, les conditions daccs au type
de service propos,);
le rgime fiscal;
Cette tude sert de base la rdaction des conventions avec les clients, ainsi qu la
rdaction des procdures relatives aux contrles louverture de relations. Elle tient compte
98
de la nature du site envisag, en distinguant selon quil sagit dun site de simple information,
de proposition commerciale (concrtise par un autre canal) ou dun site transactionnel.
Lorsquil sollicite spcifiquement la clientle non rsidente dun tat dtermin,
ltablissement veille ce que les informations requises, le cas chant, par le droit local de
cet tat soient fournies sur son site Internet et les autres supports utiliss.
A contrario, ltablissement dtermine les pays pour les rsidents desquels, compte
tenu de lincertitude sur le droit applicable, les risques juridiques douverture de compte
apparaissent non matrisables. Il met en place sur son site les lments permettant de matriser
son risque (disclaimer par exemple). Il indique clairement les pays dont les rsidents ne peuvent
ouvrir de compte chez lui et informe les personnes consultant le site du droit applicable et des
juridictions comptentes.
8.2.2.
lautorit de certification : cest le donneur dordre des prestataires prcdents, qui assume
la responsabilit finale vis--vis des tiers ; il dfinit la politique de certification, gre
ventuellement la marque associe son activit, les problmes dinteroprabilit, conserve
la cl secrte servant signer les certificats, etc.
Suivant les cas, certains des trois mtiers peuvent tre exercs par la mme entit. Les
politiques de certification comprennent notamment les exigences visant les autorits
denregistrement quant la documentation exigible du demandeur de certificat. Il y a autant
de politiques de certification que de catgories de certificats grs par des autorits de
certification. Il est impossible de dgager a priori des exigences qui seraient communment
99
admises, par exemple pour lidentification des demandeurs de certificats. Toutefois, des
exigences ou recommandations commencent apparatre:
-
Sil est, en tout tat de cause, trop tt pour apprcier et mesurer les risques que prsente
lutilisation des certificats comme moyen didentification des clients en matire bancaire et
100
8.2.3.
Preuve et contrle
Dans le cadre des rgles applicables, tant sur la scurit de linformation quen matire
de piste daudit, ltablissement devrait sassurer que les lments de preuve vis--vis des
tiers sont conservs de manire scurise (disponibilit, confidentialit et caractre non
rfutable) et accessibles sans dlai (notamment en cas de conservation par un tiers).
Ltude juridique prcite indiquera notamment sous quelles conditions ces lments
de preuve peuvent tre conservs de manire dmatrialise.
Il est recommand aux tablissements de crdit et aux prestataires de services
dinvestissement de faire un inventaire des actes juridiques transmis par voie lectronique par
ltablissement ou par ses clients. Dans le cadre de cet inventaire, il convient de distinguer les
transactions soumises un formalisme crit ad validitatem, de celles qui ne le sont pas.
En effet, en ltat actuel des textes, lorsque lcrit-papier est une condition de la validit
mme de lacte, la conclusion dune transaction exclusivement par voie lectronique est exclue.
Ds lors, ce nest que lorsque lcrit est requis ad probationem que la question de
lutilisation dun procd fiable de signature lectronique peut se poser (signature simple,
signature avance ). Dans ce cas, la fiabilit de la signature intresse la scurit de la
transaction. Les tablissements sont invits valuer les risques quils prennent en nassurant
pas cette scurit notamment sagissant des transactions juges sensibles.
101
8.2.4.
Dans le cas de portails relis aux sites dautres prestataires bancaires ou financiers, la
responsabilit du prestataire en cas de problme sur les services proposs devrait tre tudie et
matrise.
Ltablissement signe une convention avec chaque tablissement pour lequel il propose
un lien sur son site. Cette convention dcrit en dtail le partage des responsabilits quant aux
clients qui entreraient par cette voie en contact avec ltablissement li. Les deux tablissements
veillent informer clairement les personnes qui accdent au site de ce partage de responsabilits,
notamment en tablissant clairement que le client qui active le lien va tre mis en relation avec
un autre tablissement.
8.3.1.1.
102
la simple information sur lensemble des produits proposs par la banque, auquel cas il
nexiste pas ncessairement de lien entre les donnes de la banque et le serveur ;
le site transactionnel, ncessitant un lien avec les donnes clientle mais galement avec
des donnes de march sous forme dhistorique, de recherche, voire daide la dcision.
103
Le choix du prestataire externe devrait donc seffectuer sur la base de critres tels que:
-
son exprience ;
sur quel type de site ltablissement souhaite-t-il se positionner? De quelle technologie at-il besoin? Lexternalisation rpond-elle ce besoin? Est-elle compatible avec
larchitecture actuelle de son systme dinformation ?
les besoins de la clientle font-ils lobjet dune bonne comprhension de la part du prestataire
externe, permettant quil ny ait pas daugmentation du risque de perte de clientle ou
simplement de risques transactionnels, voire de rputation (chiffrage du pourcentage de
clientle et de produit net bancaire susceptible dtre concern) ?
peut-il y avoir des risques de dbordement du prestataire pouvant gnrer des risques
de perte de contrle oprationnel ?
104
la dimension cot tant lune des sources de profitabilit et lun des lments sur lequel
ltablissement est susceptible de ragir pour sadapter la concurrence, ltablissement
devrait sassurer quil dispose en permanence de lensemble des informations lui permettant
dapprcier les diffrentes composantes du cot de son investissement ;
Les dispositions qui suivent concernent les nouveaux entrants sur le march. Sagissant
des entreprises dinvestissement ou des tablissements de crdit dj agrs, il est prvu au
point 2.2.1. dtablir une procdure de dclaration auprs de lautorit dagrment. loccasion
105
La dmarche questionnaire
En partant du constat que les services bancaires ou financiers sur Internet sont assez
typs : gestion de compte, virements, ordres de bourse, un questionnaire type a t labor,
portant la fois sur les aspects techniques et organisationnels de la scurit. Lobjectif nest
pas dobtenir une tude exhaustive de la scurit ou de valider les choix techniques dtaills,
mais de sassurer que le porteur de projet a pris en compte avec suffisamment de diligence les
aspects scuritaires.
15. Questionnaire scurit au moment de lagrment
- Description de larchitecture globale du systme dinformation (incluant ltablissement
et ses partenaires externes), avec schma des flux dinformations et des traitements
associs.
- Pour chaque entit de ce systme dinformation ainsi que chaque liaison entre entits,
quels sont les moyens techniques et organisationnels envisags afin de prvenir, dtecter
ou corriger des problmes scuritaires? (firewalls, dtecteurs dintrusions, outils de
dtection automatique de failles).
- Description des moyens de veille technologique concernant les dfauts scuritaires des
matriels / logiciels utiliss.
- Qui est charg de linstallation, de la configuration, de lvaluation, de la maintenance
des quipements ou logiciels de scurit ? (notamment des firewalls).
- Modalits du dpouillement et de lexploitation des pistes daudit.
- Description des moyens de secours envisags (redondance, back-up).
- En cas de dfaillance, en combien de temps les moyens de secours peuvent-ils tre
oprationnels?
- Description des mthodes de protection des communications (au regard de
lauthentification, lintgrit, la confidentialit, la non-rpudiation).
- Quels sont les outils utiliss ? (logiciels, tokens, cartes puce, ).
- Description des procdures de login (mots de passe, changes de cls, jetons de sessions, )
et des mesures de scurit associes.
- Comment sassure-t-on de la disponibilit des systmes ? moyens de supervision ? quelle
est la capacit en nombre de connexions simultanes / nombre dordres par heure ?
106
(b)
liste des menaces: constitue partir de la liste des biens protger, elle devrait tre
pondre par lapprciation de la probabilit de la ralisation de chaque menace et par
lvaluation de ses consquences;
(c)
(d)
107
de mettre en uvre au niveau des composantes de son systme dinformation les objectifs de
scuritet de se livrer une analyse des risques rsiduels.
8.3.1.2.3.
Les tablissements pourraient faire certifier leurs sites web sur le plan scuritaire selon
un profil de protection (voir ce sujet le point 8.3.4). Une telle certification pourrait tre
prise en compte dans les dmarches exposes aux points prcdents en faisant alors bnficier
ltablissement concern dune prsomption de conformit pour la partie site web de son
systme dinformation.
8.3.2.
8.3.2.1.
b)
de sassurer que les procdures de secours informatique sont disponibles afin dassurer
la continuit de lexploitation en cas de difficults graves dans le fonctionnement des
systmes informatiques.
108
Rgles gnrales
La politique de scurit de ltablissement (voir le point 8.1.1 relatif au rle des organes
excutif et dlibrant), pour son volet technique, devrait tre dtaille dans des documents
109
dcrivant la manire dont ses principes sont mis en application dans le systme dinformation.
Le Guide politique de scurit Internet du Forum des comptences, en annexe, prsente
une trame pour llaboration dune telle politique.
Les dirigeants ou dfaut leurs reprsentants pour le domaine technique, devraient
connatre les fonctionnalits des systmes dinformation utiliss par ltablissement. Ils
dmontrent que lorganisation mise en place en interne a permis la validation par les utilisateurs
des spcifications dtailles de ces systmes (notamment du point de vue de la gestion des
risques et de la scurit) un niveau adquat.
Ltablissement est en mesure de vrifier la validit permanente des paramtres,
calculs et algorithmes utiliss par le dispositif pour filtrer les oprations de sa clientle ainsi
que leur conformit aux rgles de gestion inscrites dans les procdures internes. En particulier,
il apparat ncessaire quil dispose, non seulement de la documentation technique, opratoire,
fonctionnelle et de maintenance, relative au logiciel, mais galement quil ait, parmi son
personnel, un nombre suffisant dagents ayant la comptence ncessaire pour qu tout
moment de la plage dexploitation, lun deux ait la matrise des donnes et du paramtrage
externe. En cas de dfaillance de lditeur du logiciel, ltablissement doit avoir pris les
mesures pour sassurer de la matrise des sources. Dune manire gnrale, le recours une
socit de dveloppement externe, lachat dun progiciel, voire lexternalisation des
prestations ne doit pas faire obstacle la matrise par ltablissement du produit quil met
en uvre et dont il assume la responsabilit, tant vis--vis de ses clients que des autorits de
tutelle et de contrle. Il importe, en particulier, que les conventions dachat ou de mise
disposition du logiciel prvoient, pour ltablissement, la possibilit daccder aux donnes
techniques ncessaires cette matrise.
Le responsable du contrle interne doit disposer de moyens lui permettant de vrifier
le respect de la politique de scurit, en particulier pour le contrle des prestataires
extrieurs. Il est destinataire des informations adquates sur les performances du systme
au regard du dveloppement de lactivit ainsi que de rapports sur les incidents techniques,
selon les orientations prescrites par la politique de scurit Internet. Il synthtise ces
observations, lintention de la direction gnrale, en particulier loccasion du rapport
annuel sur le contrle interne.
8.3.2.3.
Avant de commencer ses activits, ltablissement devrait signer une convention avec
chacun de ses prestataires et sous-traitants.
Cette convention prvoit les engagements techniques de chaque prestataire. Elle indique
notamment le niveau de qualit de service sur lequel il sengage (dfini de manire prcise et
mesurable) et les cas de force majeure o cet engagement est rduit ou suspendu. En cas de
panne, la convention prvoit le dlai maximum garanti dindisponibilit du service ou, dans
les cas o une telle garantie est exclue, les moyens que le prestataire sengage mettre en
uvre pour rsoudre la difficult.
110
les dlais ncessaires pour lextension de cette capacit, et la limite ultime laquelle celleci est soumise;
La convention prvoit par ailleurs les moyens de contrle mis par le prestataire la
disposition de ltablissement pour garantir la mise en uvre de ses engagements, et la mise
disposition sans restriction de toutes les informations qui pourraient tre demandes par les
autorits de contrle, ainsi que la possibilit pour celles-ci de procder toute vrification
juge utile dans les locaux du prestataire.
Enfin, la convention doit dterminer sans ambigut les droits sur tout lment logiciel
utilis par ltablissement, en particulier la facult ou non de les commercialiser auprs dautres
tablissements.
8.3.2.4.
La disponibilit
Ltablissement devrait sassurer que les dispositifs de secours sont en place pour garantir le niveau de disponibilit dfini dans sa politique de scurit (en termes de limites
dindisponibilit et de dlai maximum de remise en production aprs une panne). Ces dispositifs sont rgulirement tests.
En outre, ltablissement dispose de procdures lui permettant de faire face aux situations dindisponibilit du service en cas de force majeure. Ces procdures reposent sur des
moyens soit internes, soit externes, auxquels il peut tre fait appel en cas de besoin dans des
conditions de dlai et de niveau de services prdfinis.
Ltablissement sassure de la disponibilit en toutes circonstances dune copie de toute
donne qui peut tre requise par un client, par une entreprise de march ou par les autorits de
place. Il met en place les sauvegardes ncessaires.
111
8.3.2.5.
Ltablissement devrait dmontrer que son systme respecte tout moment (sauf cas
de force majeure prvue dans les conventions) les engagements de performance pris lgard
des clients. Il dmontre que le systme de suivi des risques et des engagements, quil soit
manuel ou automatis, fonctionne en toutes circonstances, mme en pointe de charge.
La rapidit du sous-systme de vrification de provision du client est critique (en
particulier pour des activits de courtage boursier en ligne). Une dure trop longue de contrle
ne doit pas conduire les clients faire pression pour en obtenir le dbrayage.
Ltablissement sassure que les possibilits, notamment en dlais, de
redimensionnement des systmes en cas de croissance imprvue des volumes traiter sont
cohrentes avec les engagements de qualit de service pris lgard des clients.
8.3.2.7.
Ltablissement devrait sassurer quune trace de tout vnement sensible est conserve,
sur un support qui garantit sa confidentialit, et surtout son intgrit et son exploitabilit,
notamment par les contrleurs. La liste des vnements sensibles est tablie dans la politique
de scurit. Elle comprend, notamment, en fonction de la nature de lactivit :
-
toute intervention sur le dispositif de filtrage des oprations des clients, notamment en vue
de le dbrayer.
112
Les rgles de scurit prvoient galement les mesures dinformation sur ces vnements
(modalits de communication, donnes rapportes, priodicit) des dirigeants (ou des personnes
quils ont dsignes cette fin) et du responsable du contrle interne.
Ltablissement conserve galement le maximum dlments sur les transactions
effectues en ligne (en particulier, les ordres reus des clients). Ces informations doivent tre
mentionnes dans la convention signe avec eux au regard du respect des dispositions de la loi
n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts. Il conserve
notamment les lments permettant didentifier le cheminement suivi par lordre pour lui
parvenir. En outre, il assure au client un droit daccs et de modification des donnes le
concernant.
8.3.2.8.
Les rapports sur le contrle interne et sur la mesure et la surveillance des risques
Limportance des aspects relatifs la scurit de linformation justifie que ces questions
soient traites en dtail dans les rapports annuels sur le contrle interne, notamment pour tenir
compte des adaptations permanentes des systmes dinformation pour les maintenir au meilleur
niveau technologique.
Il sagit de rappeler ici la teneur de larticle 42 du rglement n 97-02 relatif au contrle
interne, qui dispose que le rapport annuel sur le contrle interne comprend notamment :
-
une description des conditions dapplication des procdures mises en place pour les
nouvelles activits.
8.3.3.
113
8.3.3.1.
Au point 5.3. ont t mentionns les besoins de scurit des transactions bancaires et
financires en ligne. Le point 3.2. expose, quant lui, le droit de la preuve et les notions de
signature lectronique simple et avance.
Rappelons qu lheure actuelle, la plupart des solutions utilises par les fournisseurs
de services bancaires ou financiers en ligne pour leurs relations avec les particuliers (et dans
certains cas les professionnels) ne permettent pas de garantir la non-rpudiation10 , dans la
mesure o les secrets (code confidentiel, cl prive) confis au client sont stocks ou transitent
en clair dans son PC qui constitue un environnement vulnrable aux attaques depuis le rseau
(chevaux de Troie et virus). Il sagit de noter que dans le domaine du B to C, la solution
Cyber-Comm utilisant un lecteur scuris de carte puce permet dassurer la non-rpudiation
des paiements par cartes bancaires sur Internet.
Daprs larticle 1316-4 du code civil, prcis par le dcret signature lectronique,
il faudra dmontrer pour pouvoir bnficier de la prsomption de fiabilit :
-
le respect des conditions fixes au dispositif de cration de signature utilis, respect qui
sera prsum notamment dans le cas o ce dispositif aura t certifi ;
le respect des conditions fixes larticle 6 pour le certificat utilis et le PSC qui la fourni.
Ces conditions sont difficilement remplies par des dispositifs de cration de signature
sous environnement PC. En effet, le dispositif devrait garantir que les donnes utilises pour
la cration de la signature, cest dire les cls, puissent tre protges de manire fiable par le
signataire lgitime contre leur utilisation par des tiers. Il reste que la confidentialit de donnes
stockes dans un environnement PC nest gure assure. De mme, alors que le dispositif ne
doit pas modifier les donnes signer, on ne peut en avoir la certitude dans un environnement
PC permable aux virus et chevaux de Troie.
8.3.3.2.
114
8.3.3.2.1.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Un client fait une demande dobtention de carte puce afin daccder aux services
en ligne scuriss, proposs par ltablissement de crdit ou le prestataire de services
dinvestissement.
Ltablissement rcupre et vrifie les informations concernant le client. Il joue donc le
rle dautorit denregistrement.
Une carte puce vierge est affecte un client. A linitiative de ltablissement, la carte
puce gnre une bi-cl et la mmorise.
Les informations concernant le client ainsi que la cl publique gnre par la carte sont
transmises au tiers de confiance pour obtenir un certificat.
Le tiers de confiance produit le certificat et le signe avec une cl prive.
Le certificat est retourn ltablissement qui le stocke sur la carte puce ainsi que
dans son annuaire dentreprise.
La carte puce est personnalise et est transmise au client.
rception de la carte puce, le client modifie le code PIN permettant daccder la
cl prive stocke sur la carte.
Le client demande ltablissement de valider son accs aux services en ligne souhaits.
8.3.3.2.2.
1.
2.
3.
4.
5.
6.
7.
6.
8.3.3.2.3.
1.
2.
3.
4.
5.
Le client valide une transaction dont lensemble des lments est rsum dans une page.
Le navigateur invite le client saisir son code PIN (suppos correct).
Le lecteur de carte tablit la signature lectronique des lments de la transaction.
Le navigateur envoie la transaction accompagne de la signature.
Ltablissement contrle la transaction en vrifiant notamment la signature (suppose
correcte).
Ltablissement envoie au client une page de confirmation incluant tous les lments de
la transaction.
115
8.3.3.2.4.
Une organisation
Miser sur une logistique externe de certificats ne signifie pas que ltablissement ne
simpliquera pas dans ce quon appelle lenrlement. Lattribution dun certificat, dot de
proprits particulires, relve de la volont de ltablissement. Il en est de mme pour la
spcification des critres dattribution, de reconduite, de rvocation, de suspension de certificats.
Une mauvaise organisation sera visible de lextrieur et prjudiciable la scurit du
systme dinformation.
Les cas particuliers dutilisation du systme par la clientle devront tre pris en compte:
utilisateurs backups, dparts en congs de longue dure (maternit, maladie, congs
sabbatiques) et devront tre traits dune manire suffisamment ractive pour que lentreprise
cliente ne soit pas tente de dvoyer le systme (confier le code PIN de la carte puce un tiers, etc).
8.3.3.2.4.2. Loprateur de confiance
Il ne faut pas ngliger limportance dune bonne gestion de larchivage. Celui-ci pose
le problme de la conservation, dans le temps, des modes de preuve et demande une tude
approfondie.
8.3.3.2.4.5. La protection de la cl prive
Lutilisation de la carte puce procure un standard trs lev de scurit pour protger
physiquement une cl prive.
Dans le cas dune solution moins scurise o la cl prive est conserve sur le disque
dur, des moyens de contrle daccs doivent tre notamment utiliss. En cas de copie des
fichiers didentification numrique et des cls secrtes dun ordinateur lautre, un mot de
passe scuris doit tre utilis.
116
8.3.4.
11) titre dexemple, il existe des profils de protection pour les sites web institutionnels gouvernementaux, les lecteurs transactionnels
avec carte puce (cyber-Comm), les DAB, les firewalls exigences leves et rduites, le porte-monnaie lectronique
12) La Direction centrale de la scurit des systmes d information est une direction dpendant des services du Premier ministre (Secrtariat
gnral de la dfense nationale). 14 pays sont parties aux Critres communs: Allemagne, Australie, Nouvelle-Zlande, Canada, Espagne,
tats-Unis, Finlande, France, Grce, Italie, Pays-Bas, Norvge, Royaume-Uni et Sude. Dans chacun de ces pays existe une structure
semblable la DCSSI: Allemagne (BSI), R.-U. (CESG), Australie (DSD), Canada (CSE), tats-Unis (NIST/NSA)...
117
8.3.4.1.
8.3.4.1.1.
118
Certains besoins scuritaires, au-del de la cible dvaluation qui sera adopte pour le
PP, pourraient tre jugs importants par les tablissements. La rponse se situerait dans une
labellisation complmentaire permettant de garantir la qualit du site concern, notamment en
regard des critres juridiques devant entourer la relation commerciale sur un plan bilatral.
19. La labellisation des sites
La cration dun label englobant ces aspects rpondrait ainsi lobjectif
doffrir une assurance supplmentaire de lgitimit aux clients, tout en constituant
un argument commercial pour les tablissements qui ladopteraient. Par ailleurs,
des rflexions supplmentaires devraient tre menes afin de permettre une gradation
des labels, qui selon les diverses exigences de scurit couvertes, sont par nature
diffrents. Il est jug souhaitable que le label, instrument destin matriser le risque
dimage, soit dfini au sein des organisations professionnelles.
8.3.4.3.
119
La permanence de la disponibilit des systmes doit tre au cur des proccupations des
responsables. Cest ainsi quen raison des menaces spcifiques de lInternet, notamment
en matire de dni de service, la fiabilit des systmes de secours (back-up) doit tre
particulirement renforce,
la rpudiation,
la perte dintgrit,
les fraudes et malversations internes reprsentent les menaces les plus consquentes. La
mise en place conjointe de mesures assurant un contrle efficace des accs, ainsi que de
modalits dattribution des autorisations rellement discriminantes, est seule de nature
juguler ce risque.
Des rponses aux menaces susceptibles de porter atteinte la fois au service et aux clients
Le risque de dtournement de sites (web spoofing), qui consiste substituer des sites
officiels, et parfaitement honorables, des services dont le moindre effet est de nuire
limage des premiers, et lextrme de fonder un systme de fraude engageant leur
responsabilit, faute de preuves contraires suffisantes,
le formalisme des contrats bancaires et financiers, les contrats lectroniques devant sadapter
aux exigences formelles de lcrit-papier, et les modalits darchivage.
120
8.3.4.4.
Modalits de la certification
8.3.4.4.1.
La dmarche de certification
Possibilit doffrir des fonctionnalits plus larges que celles qui sont dcrites dans
le profil de protection
13) Le Schma dfinit lorganisation ncessaire la conduite des valuations de scurit dans les meilleures conditions de cot, defficacit
et dimpartialit. La DCSSI, dans son rle dorganisme de certification, agre et contrle les centres dvaluation (CESTI) et dlivre les
certificats officiels lissue des valuations.
121
Le cot dune valuation selon les Critres communs varie sur une chelle de un dix
selon le niveau dassurance14 retenu EAL1+ ou EAL4+. ce titre, on peut pressentir une
gradation des exigences de scurit intgrant tout ou partie des points suivants :
-
des tests des fonctions de scurit de la cible, conduits par des tiers indpendants ;
8.4.1.1.
8.4.1.1.1.
La loi n90-614 du 12 juillet 1990 impose aux organismes financiers, avant douvrir
un compte, de sassurer de lidentit de leur cocontractant par la prsentation de tout document
crit probant . Le dcret n91-160 du 13 fvrier 1991 prcise la nature des documents exigs:
-
14) Le niveau dassurance est dtermin par une chelle allant de EAL1 EAL7. EAL1 est prvu pour une valuation sans dveloppeur
(analyse des fonctions de scurit de la cible dvaluation, spcifications fonctionnelles de la cible, tests indpendants des fonctions de
scurit). EAL2 est une valuation indpendante de bas niveau (conception gnrale des sous-systmes, revue des tests bote-noire, des
fonctions de scurit effectues par le dveloppeur, recherche de vulnrabilits lmentaires). EAL3 est une valuation de niveau moyen
(notamment tests bote-grise, recherche des vulnrabilits justifie par le dveloppeur, gestion de configuration de la cible). EAL4 est une
valuation bote-blanche complte (recherche indpendante des vulnrabilits, contrle du dveloppement par rapport un modle de cycle
de vie, gestion de configuration automatise). EAL 5 est un haut niveau dassurance obtenu par le recours une mthode de dveloppement
rigoureuse. EAL 6 et EAL7 sont respectivement une valuation des systmes prsentant un fort et un trs fort degr de risques.
122
Les organismes financiers doivent conserver les rfrences ou la copie de ces documents.
La mme obligation pse sur eux pour les clients occasionnels ralisant des oprations dont la
nature et le montant sont prcises dans le dcret susvis (somme suprieure 50.000F,
location de coffre).
La loi prcise, en outre, que lorsque lorganisme financier suspecte que son interlocuteur
pourrait ne pas agir pour son propre compte, il se renseigne sur lidentit du bnficiaire vritable
et demande cet effet la prsentation de tout document ou justificatif quil estime ncessaire.
8.4.1.1.2.
Toutefois, il nen va pas de mme selon que le client identifier est une personne
physique ou une personne morale. Les exigences de la rglementation actuelle en matire
didentification des personnes physiques ne sont pas applicables parce que ces dernires ne
peuvent se dessaisir des documents originaux dont la prsentation est requise.
En outre, une pice didentit ne vaut pas identification par elle-mme mais seulement
lorsquelle est prsente par son titulaire. En prcisant que le document officiel doit porter la
photographie de la personne dont lorganisme financier sassure de lidentit, le dcret n91-160
du 13 fvrier 1991 susvis contraint une personne physique sexposer personnellement pour
identification (voir aussi en ce sens, les recommandations professionnelles de lAssociation franaise
des banques relatives la lutte contre le blanchiment de largent de la drogue, mars 1991, page 21).
Il est souligner que larticle 33 du dcret n92-456 du 22 mai 1992 pris pour
lapplication du dcret-loi de 1935 relatif au chque est encore plus explicite: les tablissements
de crdit et personnes habilites tenir des comptes sur lesquels des chques peuvent tre
tirs doivent, pralablement louverture dun compte, vrifier le domicile et lidentit du
postulant qui est tenu de prsenter un document officiel portant sa photographie.
En revanche, lidentification distance des personnes morales est plus aise et peut
tre faite dans le respect de la rglementation actuelle. En effet, les personnes morales peuvent
produire par correspondance des copies certifies conformes ou des extraits originaux de
registres du commerce ou de greffe.
Ainsi quil est rappel dans la recommandation n10 du GAFI, les organismes
financiers peuvent galement en accdant aux registres publics, par voie tlmatique (ou autre
moyen de consultation distance), vrifier lexistence et la structure juridique de la socit et
obtenir des renseignements sur sa forme juridique, son adresse, ses dirigeants et les dispositions
rgissant le pouvoir dengager la personne morale.
Enfin, le problme de prsentation physique des documents nexiste pas pour les
personnes morales. Cependant, il reste entier pour la vrification des pouvoirs des personnes
habilites les reprsenter.
123
8.4.1.1.3.
Dune part, la contrefaon des documents officiels exigs a un cot. En effet, ces
documents possdent tous des signes de scurit ainsi que des rfrences qui sont notamment
destines distinguer les originaux des contrefaons. En outre, les organismes financiers
exercent un contrle de vraisemblance sur les documents prsents. Ainsi, lAssociation
franaise des banques recommande de rapprocher la signature de la pice didentit de celle
dpose par le client, dexaminer les anomalies ventuelles du document, de sassurer de la
ressemblance entre la photographie et la personne prsentant le document (voir les
recommandations professionnelles de mars 1991, page 21). Par ailleurs, la jurisprudence rendue
sur lapplication de larticle 33 du dcret du 22 mai 1992 susvis est exigeante lgard des
organismes financiers. Il demeure que ce contrle est plus difficile pour les documents dorigine
trangre.
Dautre part, on a vu plus haut que lexposition physique auprs de lorganisme
financier est incompatible avec une entre en relation daffaires distance pour les clients
personnes physiques.
Il en rsulte que renoncer aux exigences de la loi de 1990 susvise et des textes pris
pour son application aboutit ncessairement faire le choix dune identification moins certaine
du client et une plus grande exposition du systme bancaire aux risques de blanchiment: on
rappellera cet gard que lidentification du client est au cur du dispositif prventif de lutte
contre le blanchiment des capitaux. Il convient donc de rechercher la faon de satisfaire ces
exigences en adaptant la rglementation existante.
8.4.1.2.
On soulignera tout dabord que certains pays, les Etats-Unis notamment, nont pour
linstant pas marqu de proccupation majeure en matire de problmes didentification des
clients distance. Au Royaume-Uni, les autorits privilgient la connaissance des activits et
des oprations du client (know your customer policy) plutt que son identification, ce qui
peut paratre plus raliste en termes de rsultats attendus dans la lutte contre les oprations de
blanchiment ralises par Internet mais pose un problme de conformit avec la
recommandation du GAFI relative lidentification du client.
En revanche, dautres autorits trangres se penchent sur la question et commencent
proposer des solutions diverses. La Commission bancaire et financire belge (CBF) a diffus
ses assujettis (tablissements de crdit et entreprises dinvestissement) une note visant
principalement cerner les aspects du cadre rglementaire et prudentiel actuel qui sappliquent
spcifiquement lenvironnement dInternet. Dans cette note, la CBF insiste sur le fait que la
loi du 11 janvier 1993 sur le blanchiment ntablit pas de distinction selon quune relation
daffaires ou une opration se noue au moyen dun contact face face ou dun contact par
courrier, tlcopie, e-mail ou Internet. La rglementation exige par consquent que
ltablissement sassure, au moment de nouer une relation daffaires avec un client, de lidentit
124
de celui-ci au moyen dun document probant dont une copie est prise et conserve. Si un
tablissement veut conclure des contrats ou des oprations distance avec des clients, sans
quil y ait de contact face face, il doit donc mettre en place des procdures spcifiques
didentification qui satisfont plusieurs conditions de base, parmi lesquelles:
-
elles doivent faire lobjet dune attention particulire de la part des auditeurs internes et
externes de ltablissement.
125
8.4.1.3.
126
dun autre tablissement de crdit (ou lquivalent du RIB dans le cas dun tablissement non
rsident) accompagn dune attestation certifiant que le compte vis par le RIB a t ouvert
par la production de documents originaux.
Cette voie a galement t retenue par le Conseil des Marchs Financiers (CMF), dont
la dcision n99-07 prcise les prescriptions et recommandations pour les prestataires de
services dinvestissement offrant un service de rception-transmission ou dexcution dordres
de bourse comportant une rception des ordres via Internet.
Il doit tre soulign que cette dcision na pas pour objectif premier de lutter contre
lutilisation des services dinvestissement offerts via Internet des fins de blanchiment de
capitaux, mais, plus largement, de prciser les conditions dapplication des rgles de bonne
conduite dictes aux titres II et III du rglement gnral du CMF (articles 2.4.12, 2.4.13,
3.3.2, 3.3.5, 3.3.7), lorsquun ordre est reu via Internet.
Certaines des dispositions de la dcision susvise semblent nanmoins particulirement
intressantes en matire de lutte contre le blanchiment. Larticle4 de cette dcision dcrit
prcisment la procdure didentification du client demandant la ralisation dune opration
via Internet. Il rejoint les modalits dcrites au paragraphe prcdent, puisquil prescrit la
rception pralable la ralisation de toute opration:
-
dune photocopie dune pice didentit en cours de validit (passeport, carte didentit,
permis de conduire);
dun relev didentit bancaire ou un chque annul (mais le compte vis pourrait avoir
t aussi ouvert distance);
Le prestataire confirme au nouveau client quil a bien reu les documents mentionns
en lui adressant une lettre avec avis de rception, qui lui permet dtablir la ralit du domicile
qui lui a t communiqu.
Comme il a t indiqu prcdemment, cette procdure est galement utilise par certains
tablissements de crdit et il apparat souhaitable que le recours cette dernire soit gnralis.
Cet article napporte cependant pas de prcisions sur le cas des clients personnes morales;
larticle 3.3.2 du rglement gnral du CMF est cet gard lui-mme insuffisant puisquil ne
requiert que lidentification des reprsentants lgaux des personnes morales.
Aux termes de larticle6 de la dcision n99-07, le prestataire habilit informe
clairement le client quaucune opration ne peut tre initie tant quil na pas reu les documents
prvus larticle4, sagissant dun nouveau client. Cette disposition est intressante car elle
souligne bien que la ralisation doprations distance, particulirement sur Internet, dune
manire compltement dmatrialise et prsente comme un gage de rapidit et gain de temps
dans la ralisation des oprations, ne dispense pas le client de fournir aux organismes financiers
les informations requises pour lutter contre le risque de blanchiment.
127
le projet de dcret ne dcrit pas les moyens appropris didentification qui seront utiliss
par le PSC;
la nature des informations contenues dans les certificats peut tre trs diffrente selon leur
destination;
les certificats noffriront pas les mmes degrs de scurit. Certains PSC seront
accrdits, dautres pas. Le banquier sexpose des risques de faux certificats, qui ne
seraient pas mis par le vrai PSC et dont la prise en compte ne vaudrait videmment
pas vrification de lidentit du client.
128
Sur le plan juridique, la vrification faite par un tiers peut-elle exonrer le banquier de
ses obligations en matire de lutte contre le blanchiment?
La procdure didentification accomplie par un PSC vise garantir la fiabilit dune
signature lectronique et cet objectif est diffrent par nature du processus accompli par le
banquier, qui vise sassurer de lorigine des capitaux changs dans le systme bancaire.
La prise en compte par un banquier dun seul certificat de signature lectronique pour
identifier son client en vue de satisfaire ses obligations en matire de blanchiment pose un
problme de fond puisquelle reviendrait reporter sur un tiers une obligation de vrification
didentit qui, par nature, pse sur le banquier.
En tout tat de cause, il convient de souligner que le recours une autorit de certification
nexonrerait pas les organismes de leur responsabilit au regard de lobligation didentification
de leur clientle impose par larticle 12 de la loi n 90-614 du 12 juillet 1990. Le banquier est
seul responsable de la mise en uvre de la lgislation de lutte contre le blanchiment, au moyen
de procdures efficaces de vrification de lidentit du client. Notamment, les tablissements
devraient toujours tre en mesure de dmontrer aux autorits de contrle, par la production de
documents justificatifs de lidentit, que lidentification a t effectue dans les conditions
prvues par la rglementation. Les obligations relatives la conservation des documents
didentification demeureraient galement.
En ltat actuel du droit et de la technique, il apparat dans ces conditions prmatur de
considrer quun certificat de signature lectronique puisse attester de la vrification de
lidentit du client dune banque au sens de la loi de 1990.
Par ailleurs, il est noter que la transposition de la directive sur le commerce
lectronique est indpendante de la question de la vrification de lidentit aux fins de lutte
contre le blanchiment. Les mesures prvues par la directive blanchiment nempchent pas
la conclusion de conventions de compte en ligne, les documents justificatifs didentit pouvant
tre communiqus par ailleurs.
8.4.2.
Dans le cadre de la loi du 12 juillet 1990 et des textes pris pour son application, les
organismes financiers doivent exercer une vigilance constante afin dune part de pouvoir
identifier les oprations qui pourraient provenir du trafic de stupfiants ou dactivits
dorganisations criminelles, en vue de les dclarer TRACFIN (article 3 de la loi du 12
juillet 1990), et dautre part de constituer un dossier de renseignements pour les oprations
de montant lev caractrises par une forte opacit (article 14 de la loi du 12 juillet 1990).
Dans le mme ordre dides, des procdures internes doivent tre mises en uvre pour
assurer le respect du dispositif de lutte contre le blanchiment. Ces procdures comprennent
notamment des rgles crites internes dcrivant les diligences accomplir, ainsi quun
systme de surveillance permettant de vrifier leur mise en uvre. Ces dispositions ne sont
pas incompatibles en elles-mmes avec la ralisation doprations sur Internet.
129
8.4.2.1.
Proccupations trangres
Sur ce point, la banque doit tablir pour chaque client un profil de fonctionnement du
compte et sortir des anomalies circonstancies lorsque les caractristiques dune opration
scartent sensiblement dun comportement attendu. Certaines oprations pourraient servir
dindicateurs, permettant de surveiller (sinon contrler) des mouvements inhabituels ou curieux.
Dans un contexte automatis et de traitement de masse des oprations auquel sajoute la
possibilit de raliser ces dernires sur Internet 24h sur 24, le dlai ncessaire pour dtecter
une opration douteuse peut tre plus long et conduire ne lisoler qua posteriori avec
limpossibilit de surseoir son excution. Dans la mesure du possible, il est ncessaire que
soient mis en place des verrous qui permettent de bloquer la ralisation de certaines oprations
rpondant aux critres retenus pour identifier les oprations douteuses.
Bien quune liste exhaustive de critres soit impossible tablir et sous rserve des
observations complmentaires que pourrait apporter TRACFIN, ces derniers pourraient
comprendre notamment:
-
130
la dtection du fractionnement des oprations dont le montant total sur une brve priode
et destination dun mme bnficiaire dpasse les seuils qui donnent lieu dclaration
ou une vigilance renforce.
21. Une vigilance renforce en matire de surveillance des oprations sur Internet
La surveillance des oprations sur Internet en raison de la distanciation des
liens avec le client doit conduire les tablissements faire preuve dune vigilance
renforce ; aussi apparait-il dautant plus ncessaire que les contrles ne soient pas
uniquement automatiss mais quil existe toujours des gestionnaires de compte qui
centralisent toutes les informations sur les oprations effectues sur le compte. Seule
laffectation dun compte un gestionnaire unique garantit que ce dernier ait une
bonne connaissance de son fonctionnement et soit ainsi plus mme de dtecter les
oprations douteuses.
8.4.2.2.2.
Sassurer que les renseignements qui sont ventuellement exigs lors des ordres
de transferts mis par un client sont complets et conservs afin de garder la
traabilit de lopration
Larticle 15 de la loi prcite prvoit que les organismes financiers doivent conserver
pendant cinq ans compter de leur excution les documents relatifs aux oprations. La faisabilit
technique de cette disposition relative la nature des donnes qui peuvent tre conserves et
au support de conservation a t soumise aux tablissements.
En ce qui concerne la traabilit des oprations, lutilisation dInternet peut apporter
des lments qui favorisent la localisation des flux. A contrario, le reroutage peut constituer
un obstacle la possibilit didentifier avec certitude lorigine dune transaction, aussi convientil de sinterroger sur les possibilits techniques de contrarier son utilisation.
8.4.2.2.3.
Il convient de faire remonter la hirarchie les oprations les plus importantes pour
information ou pour instruction dans le cadre de larticle3 de la loi du 12juillet 1990.
On peut cependant sinterroger sur la faisabilit (et la pertinence) de bloquer
systmatiquement une opration rpondant certains types dalerte jugs graves (conditions
restrictives sur lautomaticit relatives au statut de rsident ou non rsident, au montant de
lopration, la localisation du pays metteur ou destinataire), en attendant une dcision de
ltablissement de crdit (acceptation ou rejet). En tout tat de cause, lexcution de lopration
nempche pas ltablissement de crdit de lanalyser et de faire, le cas chant, la dclaration
de soupon (en ce sens, article6 de la loi du 12juillet 1990).
131
132
9.1.1.
133
(dfinition de limites, accords sur les stratgies dintervention sur les marchs financiers). Au
moment de lagrment, le prestataire devrait galement dclarer sil entend offrir ses services des
clients localiss ltranger et prouver ladaptation de ses procdures aux rglementations locales.
Parmi les procdures susvises, les lments suivants pourraient tre examinslors de
lagrment :
-
une signature manuscrite voire lectronique, le cas chant, des conventions douverture
de compte et de responsabilit des parties est recommande pralablement au dmarrage
de toute relation commerciale;
le prestataire devrait valuer, pralablement au dmarrage puis dans une phase dessai au
dbut de lactivit, la comptence du client sagissant de sa matrise des oprations et de
ses connaissances des instruments financiers et des marchs. Une documentation de base
sur loffre de services et leurs risques doit tre labore et distribue aux clients;
9.1.2.
le prestataire doit indiquer clairement aux clients les services pour lesquels il possde une
habilitation des autorits comptentes, ceux quil exerce lui-mme et ceux quil dlgue
des tiers;
selon la typologie des clients, les conventions doivent prvoir des dpts de garantie
minimum pralablement tout dmarrage dun client;
lorsque le prestataire est simple courtier, il doit galement signer une convention avec le
compensateur des ordres de bourse. Cette convention prcise, selon les rgles de march,
134
les conditions de paiement des dpts de garantie et des appels de marge selon les marchs
et les instruments financiers;
-
les parties doivent prciser les responsabilits en cas derreurs et convenir des lments de
preuve sur lorigine et la responsabilit de ces erreurs;
les parties conviennent aussi de leurs devoirs dinformation rciproques et des dlais de
confirmation des oprations inities;
dans le cas o la convention signe par le client avec le prestataire autoriserait des dcouverts,
les modalits doivent tre prcises.
Dans le respect des exigences susvises qui pourraient tre reprises par les autorits
dagrment, le soin de rdiger des modles de convention selon la typologie des clients pourrait
tre dlgu conjointement aux associations professionnelles et aux associations de
consommateurs.
9.1.3.
de bloquer les ordres dpassant un seuil fix en francs ou en dpts de garantie pour les
instruments financiers terme;
dajuster les limites en fonction du rsultat des oprations inities par le client.
135
de visualiser tout moment les positions des clients, leur situation par rapport aux limites
et leurs rsultats;
doffrir un systme dalerte automatique lorsque les pertes dun client atteignent un
pourcentage dfini de ces avoirs titres ou espces;
dentamer un dialogue avec le client sur son cran si sa ligne tlphonique est mobilise
par sa machine.
136
Naturellement, les rgles suivantes sappliquent pour un client nouveau qui ne dispose
pas dj dun compte dans ltablissement et est connu, ce titre, de ltablissement.
9.2.1.
Connaissance du client
137
Identit du client
Il sagit non seulement de ses noms et domicile, mais galement de son statut juridique.
La connaissance de ladresse personnelle du client est imprative.
Ltablissement devrait demander des preuves que le client est majeur. Si le rgime
juridique du client limpose, il vrifie quil est galement capable. Lorsque le client est une
personne morale, les procdures prvoient les documents tablissant le pouvoir des personnes
physiques la reprsentant dans tous les actes juridiques. Lquivalent des extraits Kbis du
droit franais est ce titre exig, si ncessaire accompagn dune legal opinion sur la
capacit des dirigeants.
Lorsquil recourt aux coordonnes bancaires prexistantes du client pour lidentifier,
ltablissement veille la fiabilit de cette source dinformation, en sassurant que
ltablissement teneur du compte est lui-mme astreint des contrles approfondis (par exemple
du fait de lexistence dune lgislation anti-blanchiment efficace dans le pays considr). Il ne
peut de toutes faons sagir que dune scurit additionnelle aux contrles que ltablissement
ne peut pas se dispenser deffectuer lui-mme.
Dans tous les cas, ltablissement doit sassurer que les collaborateurs en charge des
vrifications ont la comptence ncessaire pour dtecter raisonnablement des pices incorrectes
ou des faux ventuels.
9.2.1.2.
9.2.2.
138
au niveau de qualit du service garanti au client, et aux cas de force majeure dans lesquels
cette garantie ne joue plus, ainsi quaux modalits dinformation du client dans une telle
ventualit;
9.3.1.
Rgles gnrales
139
individuelle est admis. Dans ces cas, elles identifient les personnes autorises prendre ces
dcisions, prvoient les traces conserves et les modalits dinformation des responsables,
dirigeants et du responsable du contrle interne.
9.3.2.
Les rgles relatives lapprciation de la limite de risques sont fixes par les articles
19 et 24 du rglement n97-02 du Comit de la rglementation bancaire et financire.
Article 24
Les tablissements de crdit doivent procder tout le moins trimestriellement
lanalyse de lvolution de la qualit de leurs engagements. Cet examen doit notamment
permettre de dterminer, pour les oprations dont limportance est significative, les
reclassements ventuellement ncessaires au sein des catgories internes dapprciation du
niveau du risque de crdit, ainsi que, en tant que de besoin, les affectations dans les rubriques
comptables de crances douteuses et les niveaux appropris de provisionnement.
Ltablissement dtermine si les lments dinformation fournis par le client doivent
ou non tre complts par un entretien.
9.3.3.
9.3.3.1.
Article 18
Les tablissements de crdit doivent disposer dune procdure de slection des risques
de crdit et dun systme de mesure de ces risques leur permettant notamment:
a)
b)
c)
140
9.3.3.2.
141
CONCLUSION
LInternet bancaire et financier soulve un certain nombre de questions prudentielles,
sur lesquelles tant lvolution du droit que la coopration internationale apporteront des
rponses. Ces volutions demandent tre suivies attentivement et complteront utilement les
dveloppements de ce Livre blanc.
Le Livre vert de la Commission europenne sur le commerce lectronique et les
services financiers, qui devrait tre publi au premier semestre 2001, apportera des prcisions
en matire de droit applicable et devrait amorcer une nouvelle phase dapprofondissement
du march intrieur fonde sur une harmonisation des rgles de protection des consommateurs
et des investisseurs.
En outre, le groupe banque lectronique du Comit de Ble continue ses travaux et
devrait proposer, dans le courant de lanne 2001, un cadre de coopration entre autorits
pour le contrle des banques lectroniques, ainsi que des recommandations en matire de
matrise des risques.
Enfin, la transposition complte des directives commerce lectronique et
signature lectronique, ainsi que la finalisation des directives services financiers
distance et blanchiment, complteront le cadre dexercice des activits bancaires et
financires en ligne.
La Banque de France et le Secrtariat gnral de la Commission bancaire suivront
avec attention ces dveloppements.
143
SOMMAIRE
AVANT-PROPOS ........................................................................................9
RECOMMANDATIONS DU LIVRE BLANC .........................................15
1.
2.
3.
RSUM ............................................................................................................................ 17
1.
2.
La scurit ............................................................................................................. 19
2.1. Les risques oprationnels lis la scurit des systmes dinformation doivent tre valus et matriss
par les tablissements de crdit et les prestataires de services dinvestissement .................................... 20
2.2. La matrise du risque de rputation, qui peut se propager lensemble de la communaut financire,
plaiderait en faveur de la mise en place dun rfrentiel de scurit qui serve de fondement une
certification, voire une labellisation des sites web financiers .............................................................. 22
3.
INTRODUCTION ............................................................................................................. 25
145
2.
2.2. La vrification de la capacit dexercice des oprateurs et la licit des oprations effectues sur
Internet ................................................................................................................................................... 49
2.2.1. Linformation de la clientle quant la capacit dexercice dun prestataire ................................................ 50
2.2.2. Apprciation par les autorits du caractre bancaire ou financier de certaines oprations ............................ 52
2.2.2.1. Le cas des portails et des sites agrgateurs ............................................................................................. 53
2.2.2.1.1. Les agrgateurs de donnes (screen scrapers) ............................................................................. 53
2.2.2.1.2. Les portails ......................................................................................................................................... 53
2.2.2.2. Monnaie prive ........................................................................................................................................ 54
2.2.2.3. Le mode de paiement dit du kiosque ...................................................................................................... 54
2.2.3. La sanction de lexercice illgal du mtier de banquier .................................................................................. 55
3.
146
4.1. Les services classiquement rendus dans une relation physique sont ou seront en ligne ......................... 72
4.2. Les risques financiers sont de mme nature ........................................................................................... 72
5.
6.
147
8.
8.1. L intgration des activits Internet dans lorganisation du contrle interne ........................................... 96
8.1.1. Rle des organes excutif et dlibrant ........................................................................................................... 96
8.1.2. Rle du responsable du contrle interne ......................................................................................................... 97
8.1.3. Coordination des projets Internet au sein de ltablissement ou du groupe ................................................... 97
148
8.3.4.1.3. Ce profil de protection devrait rpondre aux recommandations du Comit de Ble ................ 118
8.3.4.1.4. et faciliter ainsi les dmarches des tablissements pour obtenir un agrment dans les
juridictions hors espace conomique europen. .............................................................................. 118
8.3.4.2. La mise en place ventuelle dune labellisation ................................................................................... 119
8.3.4.3. Le choix dune approche modulaire: la dfinition de plusieurs profils de protection ........................ 119
8.3.4.4. Modalits de la certification .................................................................................................................. 121
8.3.4.4.1. La dmarche de certification ............................................................................................................ 121
8.3.4.4.2. Possibilit doffrir des fonctionnalits plus larges que celles qui sont dcrites dans le profil de
protection .......................................................................................................................................... 121
8.3.4.4.3. Cas dune modification du produit ou du systme .......................................................................... 121
8.3.4.4.4. Cot dune valuation selon les Critres communs ........................................................................ 121
9.
9.1. Les exigences relatives au contrle de la capacit du prestataire matriser son site web et son activit .... 133
9.1.1. Les exigences relatives aux critres didentification et de slection de la clientle ..................................... 133
9.1.2. Les exigences relatives au contenu des conventions prcisant les responsabilits des parties .................... 134
9.1.3. Les exigences relatives aux filtres et aux outils de suivi ............................................................................... 135
9.2. Recommandations, en matire de contrle interne, sur ltablissement de la relation avec le client ... 136
9.2.1. Connaissance du client ................................................................................................................................... 137
9.2.1.1. Identit du client .................................................................................................................................... 138
9.2.1.2. Capacit financire du client (article 19 du rglement n97-02) ........................................................ 138
9.2.2. Formalisme de louverture de la relation ....................................................................................................... 138
149
ANNEXES
151
ANNEXE 1
MEMBRES DU GROUPE DE TRAVAIL
sous la prsidence de M. Alain DUCHTEAU,
adjoint au Directeur de la Surveillance gnrale du systme bancaire
Secrtariat gnral de la Commission bancaire (SGCB)
rapporteur: M. Jrme DESLANDES,
SGCB, Service des affaires internationales
SOUS-GROUPE SECURITE
-
M. DESLANDES, SGCB
M. SINTUREL, SGCB
M. EHNI, CPR-E*Trade
M. ARNAUD, SGCB
153
M. DESLANDES, SGCB
M. SAINT-ALARY, BNP-Paribas
M. de SAINT-MARS, AFEI
M. ROCHER, SGCB
M. LACHARNAY, Fimatex
M. MILAIR, BNP-Paribas
M. VAUGIAC, Fimatex
154
ANNEXE 2
155
156
ANNEXE 3
GLOSSAIRE
AUDIOTEL
AUDIOTEX
AUTORIT
DATTRIBUTION
Elle met des certificats avec des attributs spcifiques, qui sont
gnralement valeur ajoute: capacit administrative exercer
un mtier, tat civil certifi, comptabilit certifie, acte notari.
Voir PSC.
AUTORIT
DENREGISTREMENT
AUTORIT DE
CERTIFICATION
BROWSER
157
CERT
CERTIFICAT
CERTIFICAT QUALIFI
CHEVAL DE TROIE
CONFIDENTIALIT
COOKIE
CRITRES COMMUNS
158
communs sont devenus une norme ISO (ISO 15408) depuis juin
1999. Les Critres communs fournissent galement un outil
appel profil de protection permettant aux utilisateurs de
prciser de faon gnrique leurs exigences de scurit relatives
une famille de produits ou de systmes.
CRYPTOGRAPHIE A CL
PUBLIQUE
OU
CRYPTOGRAPHIE
ASYMETRIQUE
Autorit de
certification
documents
didentification,
bi-cl
certificat de cl
publique
A
B
B
B
messages signs
en utilisant
la cl prive
+ certificat
159
DCSSI
DDOS
DMZ
DNS
160
EDI
ETEBAC 5
FAI
FIREWALL
FPTI
FTP
GAFI
GSM
161
HACKERS
HBCI
HTTP
HYPERTEXTE
162
IDENTRUS
INTERFACE
INTERNET
163
IP
IRRVOCABILIT
KIOSQUE
MONNAIE
LECTRONIQUE
164
NAT
NON-RPUDIATION
NUMRIQUE
NUMRO BRL
OPRATEUR DE
CERTIFICATION
PAGE HTML
PORTE-MONNAIE
ELECTRONIQUE
PORTE-MONNAIE
VIRTUEL
165
PROFIL DE PROTECTION
PROTOCOLES
PROXY
PSC
166
RNIS
RSA
RTC
SET
SIM
SITES PORTAILS
SMS
SMTP
SSL
167
SWIFT
TCP
TCP/IP
TEST DINTRUSION
TLS
TRANSPAC
UDP
URL
VIRUS
Partie dun programme dordinateur qui se duplique luimme en sincrustant dans dautres programmes. Quand
ces programmes sont excuts, le virus est encore appel
et peut se propager davantage.
168
VPN
WAP
WEB
X 25
169
ANNEXE 4
BIBLIOGRAPHIE INDICATIVE
CONSEIL DTAT, section du rapport et des tudes, Internet et les rseaux numriques,
juillet 1998, rapport disponible sur le site www.internet.gouv.fr.
171
OCC ALERT 2000-1, Internet security: distributed denial of service attacks. 11 fvrier
2000. Ces recommandations sont disponibles sur le site www.occ.treas.gov.
FDIC, Electronic banking examination procedures, fvrier 1997. Ces documents sont
disponibles sur le site www.fdic.gov.
RAPPORTS
172