LB Banque ET Internet

LIVRE BLANC
DCEMBRE 2000
INTERNET,
quelles consquences prudentielles ?
COMMISSION BANCAIRE
SECRTARIAT GNRAL
INTERNET
QUELLES CONSQUENCES
PRUDENTIELLES
La Banque de France et le Secrtariat gnral de la Commission bancaire

expriment leurs remerciements lensemble des membres des diffrents groupes
de travail, reprsentants dtablissements de crdit et dentreprises
dinvestissement de la place, ainsi quau Forum des comptences, qui ont
particip cette rflexion sur les consquences prudentielles dInternet.
SOMMAIRE
AVANT-PROPOS ............................................................................................. 9
RECOMMANDATIONS DU LIVRE BLANC .............................................. 15
1.
Recommandations aux dirigeants des tablissements de crdit et des

entreprises dinvestissement ................................................................................ 15
2.
Recommandations la place ............................................................................... 16
3.
Recommandations dans le cadre des travaux internationaux mens par les

superviseurs bancaires ......................................................................................... 16
RSUM ............................................................................................................................ 17
1.
Laccs lexercice dactivits bancaires et financires sur Internet .............. 17
1.1. La caractrisation de lexercice dune prestation en France ................................................................... 17

1.2. Le cadre juridique relatif la sollicitation de la clientle (publicit et dmarchage) sagissant des
activits en ligne ..................................................................................................................................... 17
1.3. Lidentification des services offerts sur Internet ..................................................................................... 18
2.
La scurit ............................................................................................................. 19
2.1. Les risques oprationnels lis la scurit des systmes dinformation doivent tre valus et
matriss par les tablissements de crdit et les prestataires de services dinvestissement .................... 20
2.2. La matrise du risque de rputation, qui peut se propager lensemble de la communaut financire,
plaiderait en faveur de la mise en place dun rfrentiel de scurit qui serve de fondement une
certification, voire une labellisation des sites web financiers .............................................................. 22
3.
Le contrle interne et la lutte contre le blanchiment ........................................ 23
3.1. Les risques soulevs par lInternet ..................................................................................................... 23

3.2. appellent les recommandations suivantes .......................................................................................... 23
INTRODUCTION ............................................................................................................. 25
PREMIRE PARTIE ...................................................................................... 27

LACCS A LEXERCICE DACTIVITS BANCAIRES ET FINANCIRES
SUR INTERNET ............................................................................................................... 29
1.
Lexercice dactivits bancaires et financires sur Internet introduit-il une

nouvelle problmatique en matire dagrment des oprateurs? ................... 29
1.1. Internet et lexigence dune autorisation pour exercer des activits bancaires et financires ................ 29
1.2. Une nouvelle donne pour loffre de services bancaires et financiers ...................................................... 31
LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE
2.
Les conditions daccs lactivit bancaire ou financire sur Internet .......... 35
2.1. La capacit agir du prestataire ............................................................................................................. 35

2.2. La vrification de la capacit dexercice des oprateurs et la licit des oprations effectues sur
Internet ................................................................................................................................................... 49
3.
Le cadre dexercice de lactivit bancaire ou financire sur Internet ............. 56
3.1 Essai dune typologie des relations prestataire/client ............................................................................. 56

3.2. Le droit de la preuve ............................................................................................................................... 61
3.3. Un cadre juridique europen en construction ......................................................................................... 67
DEUXIME PARTIE ..................................................................................... 69

LANALYSE DES RISQUES ........................................................................................... 71
4.
Les risques financiers ........................................................................................... 72
4.1. Les services classiquement rendus dans une relation physique sont ou seront en ligne ......................... 72
4.2. Les risques financiers sont de mme nature ........................................................................................... 72
5.
Les risques oprationnels..................................................................................... 74
5.1. La scurit juridique ............................................................................................................................... 74

5.2. LInternet bancaire et financier accentue la porte du risque oprationnel li la scurit des systmes
dinformation .......................................................................................................................................... 74
5.3. Identification/authentification, intgrit, confidentialit et non rpudiation des transactions ................ 76
5.4. Risques en matire de blanchiment prsents par lutilisation dInternet .............................................. 80
6.
Les risques sur les clients et sur les contreparties ............................................. 85
6.1 Lanonymat du client .............................................................................................................................. 85

6.2. Les effets sur la gestion du risque client de la concurrence, avive par Internet .................................... 85
6.3 La faible culture de prudence de certains prestataires de services sur Internet ...................................... 85
TROISIME PARTIE ..................................................................................... 87

LA MATRISE DES RISQUES ....................................................................................... 89
7.
Assise financire et suivi de la rentabilit .......................................................... 91
7.1. Vrification au moment de lagrment de la solidit de la structure financire ..................................... 91

7.2. Le suivi de la rentabilit ......................................................................................................................... 93
8.
8.1.
8.2.
8.3.
8.4.
9.
La matrise des risques oprationnels ................................................................ 96

L intgration des activits Internet dans lorganisation du contrle interne ........................................... 96
La scurit juridique ............................................................................................................................... 98
La matrise du systme dinformation et la scurit des transactions ................................................... 102
La matrise des risques de blanchiment ................................................................................................ 122
la matrise du risque sur les clients ................................................................... 133
9.1. Les exigences relatives au contrle de la capacit du prestataire matriser son site web et son activit .... 133
9.2. Recommandations, en matire de contrle interne, sur ltablissement de la relation avec le client ... 136
9.3. Le contrle permanent des risques clients ............................................................................................ 139
CONCLUSION ................................................................................................................ 143
SOMMAIRE DES ENCADRS

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
Faisceau dindices pour caractriser les cas entrant dans le champ de la libre
prestation de services ................................................................................................. 42
Faisceau dindices pour lagrment dun prestataire originaire dun pays tiers ........ 47
Proposition de dclaration auprs de lautorit dagrment de lintention
dun prestataire de raliser des oprations bancaires ou des services
financiers sur Internet ................................................................................................. 51
Cration dune base de recherche des activits sur Internet des tablissements
de crdit et des prestataires de services dinvestissement ......................................... 51
Identification du prestataire et renvoi par lien hypertexte au site de la Banque
de France-CECEI ..................................................................................................... 52
Interoprabilit des autorits de certification ............................................................ 78
Document relatif la stratgie commerciale Internet de ltablissement .................. 90
Ltablissement de scnarios de crise pour apprcier la solidit de la structure
financire....................................................................................................................93
Le suivi de la rentabilit ............................................................................................ 94
Document relatif la matrise des risques de contrepartie, juridiques et
techniques .................................................................................................................. 96
Bonnes pratiques en matire de matrise du risque juridique .................................... 98
Bonnes pratiques concernant la dlivrance des certificats ...................................... 101
Le recours des prestataires de services de certification (PSC) accrdits ............ 102
La matrise de la prestation externe ......................................................................... 105
Questionnaire scurit ............................................................................................. 106
La matrise du systme dinformation, que ce dernier soit externalis en tout
ou partie ou interne ltablissement ...................................................................... 109
La dfinition au sein du Comit franais dorganisation et de normalisation
bancaire (CFONB) dun profil de protection, rfrentiel de scurit de place . 117
La dimension internationale du profil de protection.......................................... 119
La labellisation des sites .......................................................................................... 119
Louverture des comptes distance ......................................................................... 128
Une vigilance renforce en matire de surveillance des oprations sur Internet ........ 131
Exigences relatives au contrle de la capacit du prestataire matriser
son site web et son activit ...................................................................................... 133
Bonnes pratiques en matire de matrise des risques clients ............................. 136
ANNEXES
Annexe 1 : Composition du groupe de travail.....................................................................153
Annexe 2 : Guide dlaboration dune politique de scurit
Internet (PSI) du Forum des comptences..........................................................155
Annexe 3 : Glossaire.........................................................................................................157
Annexe 4 : Bibliographie indicative...................................................................................171
AVANT-PROPOS
En quelques annes, Internet a connu un dveloppement trs rapide dans le domaine
bancaire et financier. Ce phnomne sest largement diffus dans les pays dvelopps. En
France, le nombre dinternautes reprsente environ 15% de la population et devrait connatre
une forte croissance dans les prochaines annes grce aux multiples modalits daccs proposes
(ordinateurs, tlphones mobiles, agendas lectroniques, tlvisions). Le dveloppement
en France des services bancaires et financiers sur Internet a t trs dynamique: 86 banques
franaises proposaient un site Internet en 1999, et plus de 130 en 20001.
Les banques franaises ont privilgi le plus souvent une stratgie de type multicanal.
Internet est alors un moyen parmi dautres de relation avec la clientle (agences, minitel,
centre dappels tlphoniques). Les services rendus initialement limits la consultation
du solde des comptes et au courtage en ligne2 slargissent progressivement lensemble des
transactions bancaires et financires.
De faon beaucoup plus minoritaire, Internet peut tre le canal principal de la relation
avec la clientle. Ces banques virtuelles sont tablies par des tablissements bancaires
dsireux de pntrer sur le march franais sans avoir constituer un rseau dagences ou par
des entreprises dassurance soucieuses de diversifier leur offre de services financiers.
Les services bancaires et financiers en ligne devraient connatre une progression
importante dans les prochaines annes, tant en raison de llargissement du nombre dinternautes
que de leur usage croissant de ces services3. La baisse des cots de tlcommunication et le
renforcement de la scurit des transactions, tant dun point de vue technique que juridique,
devraient jouer un rle essentiel dans cette volution. A cet gard, lvolution du droit et de la
technique devrait permettre, le cas chant, dans la plupart des pays dvelopps de conclure
prochainement des oprations en ligne pour lesquelles le formalisme de lcrit-papier est encore
aujourdhui indispensable.
v
Le dveloppement de lInternet est porteur de nombreuses opportunits pour les
tablissements financiers comme pour leur clientle.
Pour les tablissements, Internet diminue le cot de traitement de certaines oprations
en impliquant davantage les clients dans les processus oprationnels. En facilitant un traitement
des oprations de plus en plus automatis, Internet permet de redployer les effectifs vers des
services plus forte valeur ajoute au bnfice des clients.
Selon lAssociation franaise des banques/IDC
LAssociation des courtiers en ligne Brokers on line a valu prs d1 million le nombre dordres de bourse transmis en ligne la
bourse de Paris en novembre 2000 contre 600.000 en dcembre 1999.
Une enqute rcente (Association franaise des banques/IREQ) indique que trois internautes sur cinq nutilisent pas encore de services
financiers sur Internet.
Internet permet galement doffrir une palette plus large de produits financiers
destination des particuliers ou des entreprises et damliorer la qualit des services. En outre,
de nouveaux services se dveloppent, notamment en matire de scurit. Ainsi, les
tablissements bancaires, forts de leur capital de confiance, souhaitent dvelopper des services
de certification.
Par ailleurs, Internet conduit les tablissements financiers affiner lanalyse des cots
et des revenus associs chacun de leurs produits en raison de la concurrence des offres en
ligne, ce qui leur permet de rpondre de la meilleure faon aux besoins de la clientle. Les
tablissements agissent sur plusieurs paramtres: le contenu de loffre, la tarification des
services et llargissement des plages horaires en dehors des heures douverture des agences.
Dans ce contexte, les moteurs de recherches, les portails et les sites de comparaison
des offres de produits bancaires et financiers contribuent une meilleure diffusion de
linformation au profit de la clientle.
v
Face au dveloppement de ce nouveau canal de distribution, le Livre blanc a une
triple vocation.
Dune part, ces volutions, porteuses dopportunits, tant pour la clientle que pour les
tablissements, sont galement sources dincertitudes pour ces derniers. Le Livre blanc
est un recueil des bonnes pratiques en matire de contrle interne, de lutte contre
le blanchiment et de scurit destination de la profession.
Dautre part, des propositions sont formules pour augmenter encore la scurit
des oprations bancaires et financires en ligne. Ces propositions sont de nature
renforcer la confiance de la clientle dans ces nouvelles technologies.
Enfin, ce Livre blanc sefforce dapporter des solutions aux problmes prudentiels
lis la nature transfrontalire de loffre et sinscrit, ce titre, dans le cadre de la
rflexion internationale mene au sein du Comit de Ble pour le contrle bancaire et
entre les superviseurs bancaires europens.
v
En premier lieu, Internet, comme canal de distribution des services bancaires et

financiers, fait courir un ensemble de risques essentiellement oprationnels, dont la
nature nest pas nouvelle, mais dont la porte est modifie ou accentue.
Ces risques, encourus pour certains dentre eux par les tablissements, pour dautres
par la communaut bancaire dans son ensemble, doivent tre la fois reprs, analyss,
matriss et contrls. Telle est la vocation premire de ce Livre blanc, qui formule des
recommandations en matire de contrle interne et de lutte contre le blanchiment ainsi quen
matire de scurit des systmes dinformation et des transactions.
10
Le Livre blanc se veut pdagogique. Il rappelle avec prcision ltat du droit et de la

rglementation bancaire et financire ainsi que ses modalits dapplication lInternet bancaire
et financier. Les conditions daccs la profession sont galement prcises pour les nouveaux
entrants ou les prestations transfrontalires que favorise Internet. La matrise du risque juridique
suppose que le droit soit connu de tous et soit prcis sur un certain nombre de points.
Le Livre blanc sur Internet, qui met en avant des bonnes pratiques en matire de services
bancaires et financiers en ligne, ne doit pas faire oublier lampleur des risques traditionnels,
notamment en matire de scurit des systmes de linformation. Le risque oprationnel forme
un tout, qui ne doit pas tre rduit Internet. La scurit des systmes dinformation sinscrit
dans une proccupation globale, que le rseau interne de ltablissement soit connect
lInternet ou non, quil soit en totalit ou en partie externalis.
Internet modifie considrablement lenvironnement bancaire auquel les tablissements
de crdit et les entreprises dinvestissement doivent sadapter. Lampleur et le rythme des
investissements pour russir cette adaptation sont incertains, dans un contexte de mutations
technologiques et dvolution des comportements de la clientle. Des investissements hasardeux
peuvent affecter la solidit dun tablissement. A ce titre, le Comit de Ble sur le contrle
bancaire souligne4 limportance du risque stratgique, que fait courir Internet aux
tablissements.
Ensuite, le risque dun manque de matrise par les dirigeants des situations nouvelles
quintroduit le recours Internet, comme canal de distribution des services bancaires et
financiers doit tre plus particulirement soulign. Dune part, Internet favorise le recours de
plus en plus pouss lexternalisation. Les tablissements doivent tre en mesure de contrler
ce type de situation, en prvoyant notamment des clauses daudit prcises dans les contrats de
sous-traitance. Dautre part, les dirigeants peuvent tre conduits, en raison de la complexit
tant juridique que technique de lInternet de dlguer ces questions des spcialistes. Dans ce
cas de figure, il est souhaitable que ces derniers dcrivent de faon prcise et exhaustive, dans
un document approuv par les dirigeants, leurs politiques de matrise de risques, quil sagisse
du risque de contrepartie, du risque juridique et du risque technique.
Sur ce dernier point, sagissant de la scurit des systmes dinformation, lannexe au
Livre blanc prpare par le Forum des comptences5 prsente un Guide dlaboration dune
politique de scurit Internet, dont il conviendrait de sinspirer pour que soit amliore la matrise
de la scurit des systmes dinformation, que ces derniers soient externaliss ou non.
En particulier, les volutions tant juridiques que techniques relatives la signature
lectronique et au formalisme des contrats lectroniques6, qui devrait tre prochainement
prcises, supposent plus que jamais que juristes et techniciens des systmes dinformation
travaillent de concert pour dfinir les infrastructures de scurit ncessaires au bon
fonctionnement des services bancaires et financiers en ligne.
4
Rapport du groupe Banque lectronique du Comit de Ble doctobre 2000.
Le Forum des comptences est une association de spcialistes de la scurit des systmes dinformation du secteur bancaire et financier.
La transposition de la directive commerce lectronique devrait permettre, le cas chant, dadapter le formalisme de certains
contrats llectronique, pour permettre la conclusion de contrats pour lesquels le formalisme crit-papier est encore indispensable la
validit mme de lacte.
11
Outre des risques essentiellement oprationnels, Internet introduit une incertitude en

matire de rentabilit.
Tout dabord, Internet est le vecteur dune accentuation de la concurrence, par larrive
de nouveaux entrants dispenss dtablir un rseau dagences.
Internet favorise galement de nouveaux modes de distribution des produits bancaires
et financiers. Les portails mettent plus directement en concurrence les diffrentes offres. Ce
mode de distribution des produits bancaires et financiers a des analogies avec le march de la
grande distribution, qui met en concurrence les producteurs. Certaines analyses envisagent
que les tablissements de crdit, dont la fonction principale est de crer des produits et de
grer les risques qui y sont attachs, confient ensuite aux portails la distribution de leurs
produits. Une rosion des marges des producteurs au profit des distributeurs serait alors
craindre. Do les initiatives rcentes de certaines banques franaises pour crer leur propre
portail ou leur place de march pour leurs relations en ligne avec les entreprises.
En outre, une surenchre en matire de rmunration des dpts de la part des banques
lectroniques, qui ont des cots dinfrastructure moindres que les banques traditionnelles
rseau, est un phnomne dont les prmisses se manifestent enFrance et plus encore au
Royaume-Uni. Cependant, lexprience des banques lectroniques, notamment aux EtatsUnis, a montr que leur dveloppement passe par la constitution dun rseau dagences.
Enfin, dans ce contexte trs concurrentiel, les frais de publicit et les cots
technologiques sont susceptibles dobrer la solidit financire de certains tablissements.
Ces lments qui laissent prsager une rosion des marges sont contrebalancs par
dautres processus, comme la plus grande productivit des services bancaires et financiers
attendue dInternet.
En outre, les tablissements franais sorganisent pour occuper le terrain des offres
bancaires et financires en ligne, en dveloppant notamment des partenariats entre eux. En ce
sens, un renforcement des synergies bancaires est susceptible de conduire des conomies
dchelle et la prservation des marges ou commissions.
Au-del de ces incertitudes en matire de rentabilit, Internet appelle la communaut
bancaire et financire se proccuper du risque de rputation. La dtrioration de la rputation
dun tablissement suite une dfaillance de ses services en ligne est, en effet, susceptible
daffecter limage des autres tablissements par un mcanisme de contagion. Pour scuriser
lenvironnement dans lequel sont offerts les services bancaires et financiers, le Livre blanc
avance deux propositions: la dfinition dun rfrentiel de scurit et la mise en place de
politiques de labellisation.
v
Telle est la seconde vocation de ce Livre blanc: proposer des solutions pour que
le dveloppement de lInternet bancaire et financier se fasse en toute scurit et gagne
la confiance des consommateurs.
12
De graves dysfonctionnements rencontrs par un service bancaire ou financier en ligne

peuvent susciter une perte de confiance et porter prjudice lensemble de la communaut
financire. Pour offrir de meilleures garanties, la dfinition dun profil de protection, qui
serait un rfrentiel de place en matire de scurit, est prconise.
Ce rfrentiel sur lequel travaille maintenant le Comit franais dorganisation et de
normalisation bancaire (CFONB) devrait servir de fondement une certification, voire une
labellisation des sites financiers transactionnels. Le profil de protection et la labellisation des
sites en matire de scurit, selon un rfrentiel commun, devraient tre repris par la profession
et notamment par les grands acteurs de la place.
Par ailleurs, le dveloppement dactivits bancaires et financires illgales est susceptible
de porter prjudice lensemble des tablissements et la clientle. Aussi est-il propos de
relier dans des conditions de scurit adquates le site des tablissements au site de la Banque
de France-Comit des tablissements de crdit et des entreprises dinvestissement (CECEI)
qui comporte la liste des tablissements rgulirement agrs, sur laquelle il pourrait tre fait
mention, grce une procdure de dclaration, de lactivit oprationnelle des tablissements
sur Internet.
v
Enfin, le Livre blanc est une source de propositions pour les travaux
internationaux, que mnent les superviseurs bancaires et les autorits dagrment, tant
au Comit de Ble sur le contrle bancaire quau sein de lespace conomique europen.
Ainsi, sur la question de lagrment en France dune entreprise fournissant des produits
bancaires ou financiers en ligne, un faisceau dindices a t labor. Cette proposition sera
faite aux autres pays membres du Comit de Ble sur le contrle bancaire pour quils adoptent
une approche similaire afin de diminuer linscurit juridique qui entoure la prestation
transfrontalire de services sur Internet.
Le profil de protection, sur lequel travaille le CFONB, sinscrit galement dans
une perspective internationale. Les autorits prudentielles trangres, tout comme les autorits
franaises, sintressent de plus en plus cette question essentielle de la scurit des banques
lectroniques. Dans ce contexte, la certification par rapport ce rfrentiel, selon une
procdure permettant une reconnaissance mutuelle, devrait faciliter loctroi dagrment dans
les pays vers lesquels les tablissements entendent fournir leurs services.
v
Internet est porteur dopportunits mais galement dincertitudes pour les tablissements
bancaires et financiers. Les bonnes pratiques que met en avant ce Livre blanc et les propositions
quil formule en direction de la profession et des autorits prudentielles trangres sefforcent
doffrir des conditions adquates de scurit tant technique que juridique ainsi quun cadre
pour la matrise des risques associs ces activits.
v
13
RECOMMANDATIONS DU LIVRE BLANC

Les recommandations, qui figurent dans le Livre blanc, revtent un caractre de bonnes
pratiques, destines matriser les risques encourus par le recours Internet, comme canal de
distribution des services bancaires et financiers. La plupart des tablissements de crdit et des
entreprises dinvestissement ont inscrit Internet dans le cadre dune stratgie multicanal.
Les services quils rendent par voie lectronique sont appels se dvelopper. Lvolution du
droit et des techniques devraient permettre, le cas chant, de fournir lavenir certains services
en ligne pour lesquels le formalisme de lcrit-papier est encore aujourdhui indispensable.
Lessor de ce nouveau mdia appelle les recommandations suivantes:
1. Recommandations aux dirigeants des tablissements

de crdit et des entreprises dinvestissement
en matire de contrle interne

formaliser dans un document valid par les organes excutifs la stratgie commerciale
Internet de ltablissement en prcisant en particulier les risques encourus (page 90)
laborer un document relatif la matrise des risques, dclins en risques de contrepartie,
en risques juridiques et techniques, qui fournit la direction gnrale une vision globale
des risques encourus (point 8.1.1, page 96) ;
fournir au responsable du contrle interne une comptence explicite et exhaustive sur
toutes les questions relatives la scurit (point 8.1.2, page 97);
valuer les moyens ncessaires pour assurer la continuit de lentreprise et sa crdibilit
vis vis de ses clients et partenaires, tout particulirement en situation de crise (point
7.2.2, page 94);
matriser les prestations externalises par ltablissement, en prvoyant des clauses daudit
dans ses contrats (point 8.3.1.1, page 102 et 8.3.2.1, page 108);
en matire de lutte contre le blanchiment
sassurer du respect des rgles didentification satisfaisant le degr dexigence de la loi du 12
juillet 1990, lorsque la relation de face face est impossible (point 8.4.1.3., page 126) ;
sassurer que les renseignements qui sont exigs lors des ordres de transferts mis par le
client sont complets et conservs afin de dtecter les oprations douteuses et de sassurer
de la traabilit des oprations(point 8.4.2.2.2, page 131) ;
pouvoir bloquer, le cas chant, la ralisation automatique de certaines oprations afin de
se donner le temps dexaminer leurs caractristiques ou dobtenir un complment
dinformation(point 8.4.2.2.3, page 131) ;
en matire de scurit
laborer dans chaque tablissement une politique de scurit Internet, dont un Guide prpar
par le Forum des comptences figure en annexe (point 8.1.1, page 96) ;
utiliser des techniques permettant la non-rpudiation pour les transactions juges sensibles
15
par ltablissement (points 5.3, page 76 et 8.3.3., page 113) ;

suivre attentivement lvolution des textes juridiques relatifs la signature lectronique
(point 3.2.1, page 62) et au formalisme des contrats lectroniques (point 3.2.2, page 67)
ainsi que la mise en place des prestataires de services de certification, qui apportera une
rponse au besoin de scurit des transactions (point 8.2.2, page 99);
en matire de risque juridique
tablir une tude juridique destine mesurer prcisment les risques encourus sagissant
des prestations transfrontalires(point 8.2.1, page 98) ;
associer les directions juridiques et les directions techniques et informatiques pour renforcer
le besoin de scurit des transactions (point 8.2.3, page 101) ;
2. Recommandations la place
la dfinition dune rfrentiel de scurit de place et la mise en place dune

labellisation;
participer au sein du Comit franais dorganisation et de normalisation bancaire (CFONB)

au projet de rfrentiel de scurit de place, destin matriser le risque de rputation et
lever le niveau de scurit de lensemble de la place (point 8.3.4, page 117 );
accompagner ce rfrentiel de scurit, qui sinscrit dans une perspective internationale,
dune labellisation permettant de garantir non seulement la scurit mais aussi la qualit
(point 8.3.4.2, page 119);
la mise en place dun lien hypertexte entre le site des tablissements et celui de la
Banque de France-CECEI, autorit dagrment(point 2.2.1, page 50) ;
la mise en place dinfrastructures de scurit.
rechercher linteroprabilit des autorits de certification; la cryptographie clef publique,

qui suppose des infrastructures particulires, apportant des solutions aux besoins de scurit
des transactions bancaires et financires(point 5.3.3, page 78);
dfinir des certificats bancaires et des politiques de certifications ad hoc pour
lidentification des clients (point 8.2.2, page 99).
3. Recommandations dans le cadre des travaux

internationaux mens par les superviseurs bancaires
-
16
dvelopper la notion de sites actifs et de sites passifs en la dfinissant prcisment afin de

diminuer linscurit juridique qui entoure actuelle les prestations transfrontalires (point
2.1.3, page 47) ;
favoriser la certification selon des standards reconnus en matire de scurit, garantie,
tant pour les autorits du pays dorigine que pour les autorits du pays daccueil de la
matrise des risques par les tablissements (point 8.3.4.1.4, page 118).
RSUM
1. Laccs lexercice dactivits bancaires et financires
sur Internet
La prestation de services bancaires et financiers par Internet modifie les conditions
traditionnelles dexercice de ces activits. Lessor de ce nouveau mode de relation daffaires
facilite ltablissement de contrats transfrontaliers et modifie la relation avec la clientle tout
en suscitant lapparition de nouveaux acteurs. Par l-mme, les autorits sont amenes clarifier
un certain nombre de situations et prciser certaines exigences lies lagrment, relatives
notamment la solidit de la structure financire et la matrise des sites web.
1.1. La caractrisation de lexercice dune prestation en France

En rgle gnrale, les lments caractristiques des prestations bancaires ou financires
sont raliss par le prestataire au sein de son systme de gestion reli au site web. Il faudra
alors considrer que les oprations doivent tre soumises agrment au lieu dtablissement
du prestataire. Le CECEI est amen en consquence examiner si ces oprations sont exerces
en France et si elles sont entreprises par un tablissement rgulirement agr.
La notification de libre prestation de services pour les tablissements de lespace

conomique europen
Un prestataire de lespace conomique europen peut exercer son activit sur la base
de lagrment dont il dispose dans son pays dorigine, en bnficiant soit de la libert
dtablissement, soit de la libert de prestation de services. Celles-ci supposent une information
pralable des autorits. Il est propos que la prestation par Internet sapparente une libre
prestation de services ds lors que lintention du prestataire est caractrise. Cette intention
serait apprcie sur la base dun faisceau dindices (possibilit dentrer en relation daffaires
distance, prsentation du site dans la langue nationale, rfrencement du site dans des portails
nationaux et dans des moteurs de recherche nationaux).
Le cas dun tablissement dun pays tiers lespace conomique europen
Le mme faisceau dindices serait utilis pour dterminer si un tablissement dun

pays tiers lespace conomique europen doit tre agr pour offrir des services bancaires et
financiers en France ou pour exercer une activit bancaire auprs de rsidents franais.
1.2. Le cadre juridique relatif la sollicitation de la clientle (publicit

et dmarchage) sagissant des activits en ligne
A dfaut de prsence permanente, un tablissement peut solliciter la clientle franaise
des fins commerciales. Il est alors soumis aux lois de 1966, 1985 et de 1972 relatives au
dmarchage et au dcret de 1968 relatif la publicit. Les autorits franaises peuvent, le cas
chant, faire application de dispositions pnales pour empcher le prestataire tranger de
17
mettre en uvre des pratiques rprhensibles en France. Il est important, en ltat de la

lgislation, dapprcier dans quelle mesure les dispositions relatives la publicit et au
dmarchage sappliquent aux pratiques actuelles de lInternet. A ce titre, une grille de lecture
est propose.
1.3. Lidentification des services offerts sur Internet

La Direction des tablissements de crdit et des entreprises dinvestissement de la
Banque de France, qui assure le secrtariat du CECEI, est frquemment interroge par le
public sur lexistence de tel ou tel site offrant des services bancaires et financiers. Ses moyens
traditionnels de renseignement sont cependant rduits: elle ne dispose pas ce jour dune
information exhaustive des prestataires oprant en ligne.
Aussi est-il propos de considrer que la prestation en ligne constitue un lment notable
du mode de fourniture des services, modifiant les conditions dexercice de lactivit bancaire
ou financire et devant faire lobjet dune dclaration auprs de lautorit dagrment.
Cette procdure de dclaration auprs de lautorit dagrment de lintention de fournir
des services en ligne permettrait galement dexaminer, pour les tablissement dj constitus,
si louverture de services en ligne reste compatible avec les lments de bon fonctionnement
de ltablissement apprcis lors de son agrment.
Par ailleurs, il est propos, conformment au droit communautaire, de rendre obligatoire
sur la page daccueil du site ou sur une page daccs facile, direct et permanent, laffichage
dun certain nombre de mentions: lagrment du CECEI, ladhsion un systme de garantie
des dpts et/ou des titres, ladhsion une association professionnelle.
En outre, dans un souci dinformation et de protection des consommateurs contre les
activits susceptibles dtre illgales, la mention de lagrment du CECEI devrait tre assortie
dun renvoi au site de la Banque de France-CECEI - dans des conditions de scurit adquatesafin de permettre au client de consulter la liste des prestataires agrs.
18
2. La scurit
Le Livre blanc sur la scurit des systmes dinformation des tablissements de crdit
de la Commission bancaire, publi en 1996, soulignait limportance des risques lis aux
systmes dinformation, dont la matrise devait devenir, si elle ne ltait dj, lun des objectifs
de chaque direction gnrale. Cet avertissement a t renforc, par la suite, par les prescriptions
de larticle 14 du rglement n 97-02 du Comit de la rglementation bancaire et financire,
celui-ci rendant explicitement les dirigeants des tablissements responsables de lvaluation
et de la matrise des risques lis la scurit des systmes dinformation.
Si les menaces auxquelles doivent faire face les tablissements restent, sur le plan des
principes, de nature traditionnelle et sont couverts par les objectifs de scurit DICP1 ,
lacclration des processus techniques et du risque de propagation, qui dcoule du recours
lInternet, implique une ractivit immdiate et proportionne tout incident (menace rvle),
destine en entraver aussi bien lextension que laccumulation des consquences.
Le dveloppement de lInternet comme support dun certain nombre dactivits
bancaires et financires, exige donc dornavant une vigilance accrue de la part des directions
gnrales en matire de scurit. Leur attention est attire plus particulirement sur le besoin
de recourir des valuations priodiques de la vulnrabilit des systmes face aux attaques
internes et externes. Par ailleurs, la rapidit de propagation des incidents, en cas de mise en
dfaut des dfenses devrait inciter les tablissements accrotre lefficacit des systmes et
des personnels en charge de la dtection et des corrections.
Cest ainsi que des mesures particulires devraient tre mises en place, afin de crer un
environnement de confiance et de scurit des transactions, de mme niveau que celui qui
prvaut lorsque ces transactions sont ralises avec la prsence physique des parties, ou au
moins laide dun support matriel (en gnral papier). Lies une acclration des
transmissions et des processus techniques et face lextension de lorigine des menaces, les
menaces inhrentes lmergence des nouvelles technologies de linformation et des
tlcommunications (NTIC) peuvent se dcliner sous plusieurs angles:
-
les dysfonctionnements rencontrs par un tablissement peuvent non seulement induire

un risque dimage pour celui-ci, mais peuvent aussi engendrer une perte de confiance de
la clientle dont la propagation lensemble de la place est porteuse de risques systmiques;
la vitesse de propagation des menaces ne peut tre prise en compte par les dispositifs de
prvention et de protection traditionnels, une forte ractivit pour la dtection et la
neutralisation de la menace tant imprative;
le dveloppement de la banque lectronique saccompagne dun recours de plus en plus

pouss lexternalisation, ce qui engendre des risques additionnels dont ltablissement
na pas, a priori, la matrise directe, mais dont la couverture doit tre garantie;
la relation avec les tiers seffectue dans un cadre dmatrialis susceptible dintroduire
pour chacune des parties une inscurit juridique spcifique.
1) Disponibilit, Intgrit, Confidentialit et Preuve, comme exposs dans le Livre blanc sur la scurit des systmes dinformation.
19
Au premier degr, les risques oprationnels doivent tre matriss par ltablissement
dans le cadre de la dfinition et de la mise en uvre dune politique de scurit Internet et de
son contrle (1). Lexistence dun risque de rputation, qui peut se diffuser lensemble de la
place, impliquerait quy soit ajout un rfrentiel de scurit de place (2).
2.1. Les risques oprationnels lis la scurit des systmes

dinformation doivent tre valus et matriss par les
tablissements de crdit et les prestataires de services
dinvestissement
Si les dirigeants doivent simpliquer dans llaboration et lapplication de la politique
de scurit visant rpondre ces menaces, cest aux responsables de la scurit des systmes
dinformation (RSSI) quil appartiendra, le plus souvent, de prescrire les rgles de scurit
propres lInternet, den dduire les procdures appropries de mise en uvre, et de sattacher
rendre contrlable lensemble du dispositif mis en place. Ceux-ci pourront utilement se
reporter au guide dlaboration dune politique de scurit Internet du Forum des
comptences, figurant en annexe. Ce guide pourra galement tre utile aux personnes charges
dlaborer le cadre de contrle interne et aux personnes charges de lappliquer au titre des
contrles de premier niveau et de second niveau.
Des rponses aux menaces susceptibles de porter prjudice aux utilisateurs
La perte dintgrit des flux dinformation, latteinte la vie prive (coute, conservation
illicite dinformations personnelles), lusurpation didentit dun utilisateur autoris, sont autant
de menaces auxquelles les tablissements doivent sefforcer de rpondre afin dassurer la
scurit des transactions.
Cela requiert en gnral la mise en oeuvre de techniques cryptographiques adaptes
aux exigences des mtiers bancaires. Cest ainsi que si toutes les informations transmises ne
demandent pas tre protges, les tablissements auront soin de dfinir les transactions qui
ncessitent des dispositifs ou des infrastructures de scurit ad hoc: cryptographie
asymtrique, chiffrement des donnes, etc.
Il peut tre galement ncessaire, dans le cadre des transactions sur Internet, de faire
usage de fonctions dauthentification forte pour sassurer de lidentit des diffrentes parties.
Ceci peut tre ralis en utilisant une varit de mthodes (mots de passe chiffrs, cartes
puces2 , signatures lectroniques, voire biomtrie), qui ne sont pas exclusives les unes des
autres, mais qui doivent sadapter aux exigences des mtiers bancaires. Les infrastructures
clef publique, dans lesquelles intervient un tiers pour certifier les changes, restent cependant
indispensables, dans ltat actuel des techniques, pour couvrir lensemble des besoins de
scurit: authentification, confidentialit, intgrit et non-rpudiation.
2) Les conditions de scurit fixes par le dcret signature lectronique tant a priori difficilement remplies par des dispositifs de
cration de signature sous environnement PC, lutilisation de la carte puce sera probablement incontournable.
20
Des rponses aux menaces pesant sur le fonctionnement du service
La disponibilit des services offerts sur Internet et la matrise des risques dintrusion
dans les systmes dinformation de ltablissement doivent tre au coeur des proccupations
des responsables. Sous la pression de la concurrence et des attentes des clients, une
indisponibilit prolonge, outre le risque financier immdiat quelle peut comporter, peut tre
fortement dommageable pour les tablissements en termes dimage et de crdibilit. Cest
ainsi quen raison des menaces spcifiques de lInternet, notamment en matire de dni de
service3 , la conception et la fiabilit des systmes de secours (back-up) doivent tre
particulirement renforces.
Les menaces dintrusion que reprsentent des accs illicites, le contournement du
contrle daccs, la modification des rgles et lusurpation de lidentit des exploitants du
systme sont srieuses et peuvent porter prjudice tant au service sur Internet quaux systmes
dinformation internes auxquels ce service Internet est raccord. La conception et la fiabilit
des systmes de contrle daccs et de cloisonnement entre les sous-systmes doivent tre
particulirement bien tudies. Les conditions de surveillance et de maintenance de ces systmes
doivent en particulier tre trs srieusement dtailles, appliques et pourvues en personnel
comptent et disponible.
Il faut rappeler que les fraudes et malversations internes reprsentent toujours une
grande part des actes de malveillance en matire datteinte la scurit des systmes
dinformation. La mise en place conjointe de mesures assurant un contrle efficace des accs
et de modalits dattribution des autorisations rellement discriminantes est seule de nature
juguler ce risque.
Des rponses aux menaces susceptibles de porter atteinte la fois au service et aux
clients
Le risque de dtournement de sites (web spoofing) apporte incontestablement une

dimension particulire aux menaces induites par lusage dInternet. Il consiste substituer
des sites officiels, et parfaitement honorables, des services dont la moindre consquence
est de nuire limage des premiers, et, lextrme, de fonder un systme de fraude engageant
leur responsabilit, faute de preuves contraires suffisantes.
Par ailleurs, la transposition des directives commerce lectronique et signature
lectronique consacrera la possibilit juridique de conclure dornavant des transactions pour
lesquelles une preuve pr-constitue et matrialise (un crit) tait jusque-l indispensable. Il
sera ncessaire, en consquence, que les tablissements de crdit, comme les prestataires de
services dinvestissement, se dotent des infrastructures de scurit permettant de remplir les
exigences de forme attaches certaines oprations bancaires et financires, sous peine de
nullit des contrats. Ces risques doivent tre particulirement analyss sous un angle la fois
juridique et technique.
3) Attaques qui visent paralyser un systme sous un flot de requtes saturant les serveurs.
21
2.2. La matrise du risque de rputation, qui peut se propager

lensemble de la communaut financire, plaiderait en faveur
de la mise en place dun rfrentiel de scurit qui serve de
fondement une certification, voire une labellisation des sites
web financiers
De graves dysfonctionnement rencontrs par un service bancaire ou financier en ligne
peuvent susciter de la part de la clientle une perte de confiance et, par propagation, porter
prjudice lensemble de la communaut financire. Un tablissement noffrant pas de bonnes
garanties de scurit ferait ainsi courir un risque dimage et financier pour la place toute
entire. La vocation premire dun rfrentiel de scurit applicable ce niveau serait donc de
garantir, de faon publique, la conformit du dispositif de scurit adopt par un tablissement,
en regard dun ensemble de critres constituant une cible de scurit communautaire.
La dfinition dun tel rfrentiel de scurit a motiv la saisine du Comit franais
dorganisation et de normalisation bancaire (CFONB) par le Secrtariat gnral de la
Commission bancaire, afin que soit labor un profil de protection (PP) adapt aux risques
des sites web financiers transactionnels, susceptible de dboucher, terme, sur un processus
de certification.
La dimension internationale du profil de protection
La certification devrait ainsi avoir pour objet de garantir le niveau de scurit offert
par tout site soumis lobligation dagrment, non seulement aux yeux des autorits franaises
de contrle, mais aussi trangres, en raison de la vocation internationale croissante des services
bancaires en ligne. En tant que standard international, les Critres communs simposeront
alors immdiatement comme une rfrence oblige pour une recherche de reconnaissance
mutuelle du (ou des) futur(s) PP susceptible(s) dtre dfini(s).
La mise en place dune labellisation
Certains besoins scuritaires, au-del de la cible dvaluation qui sera adopte pour le
PP, pourraient tre jugs importants par les tablissements. La rponse se situerait dans une
labellisation complmentaire permettant de garantir la qualit du site concern, notamment en
regard des critres juridiques devant entourer la relation commerciale sur un plan bilatral.
La cration dun label englobant tous ces aspects rpondrait ainsi lobjectif doffrir
une assurance supplmentaire de lgitimit aux clients, tout en constituant un argument
commercial pour les tablissements qui ladopteraient.
En tout tat de cause, la certification et/ou la labellisation ne constitueraient que des
lments complmentaires intgrs au dispositif global de scurit, lequel doit rester sous
lentire matrise de la direction gnrale des tablissements.
22
3. Le contrle interne et la lutte contre le blanchiment

Internet ne change pas la nature des risques encourus par les tablissements. En revanche,
la nature la fois dmatrialise, automatise et transfrontalire de ce canal de distribution
rend plus difficile et sensible lapplication des obligations lgales et rglementaires en matire
de lutte contre le blanchiment et de matrise des risques oprationnels ou financiers.
3.1. Les risques soulevs par lInternet

-
Le blanchiment peut tre facilit par la nature dmatrialise de la relation qui stablit
via Internet entre le banquier ou le prestataire de services dinvestissement et son client,
qui rend plus difficile la vrification de lidentit et de la capacit financire de ce dernier.
Les possibilits de traitement, largement automatiss, des oprations des clients sont
galement un facteur de risque en permettant aux clients de dissimuler des oprations
douteuses ou frauduleuses dans une masse doprations traites sans contrle humain.
La possibilit douvrir des comptes avec des clients non-rsidents pose la question de la
matrise des risques juridiques.
Le caractre hautement technologique de ces activits cre un risque de perte de

matrise de loutil informatique par les dirigeants et les services utilisateurs, qui ne
seraient plus en mesure de sassurer que les systmes offrent le niveau de service garanti
aux clients et que les dispositifs de matrise du risque de contrepartie (contrles de provision)
rpondent leurs exigences.
Il apparat enfin que limportance des investissements ncessaires impose aux tablissements
de porter une attention particulire la rentabilit des fonds investis.
3.2. appellent les recommandations suivantes
en matire de contrle interne
Le Livre blanc conclut quen matire de contrle interne, les risques peuvent tre matriss
dans le cadre de la rglementation actuelle. Les recommandations suivantes constituent cet
gard autant de principes de base du contrle interne qui peuvent utilement tre rappels tous:
-
les organes dirigeants doivent tre impliqus toutes les tapes dun projet Internet. Une
coordination des projets existant au sein de ltablissement est ncessaire la matrise des
risques, dans le cadre de la politique de scurit approuve par les dirigeants;
lorsque les services sont rendus des non-rsidents, le cadre juridique de la relation doit
tre connu et lensemble de la documentation juridique doit y tre adapt;
il est ncessaire de se doter de dispositifs de limitation permanente des risques sur les
clients et contreparties, et notamment de filtres exhaustifs et automatiques, dont lexistence
23
et lefficacit a t vrifie par les utilisateurs;

le systme dinformation doit tre matris, quil soit interne ou externalis, afin doffrir
des performances et une scurit conforme aux engagements pris par ltablissement. Dans
ce dernier cas, celui-ci doit disposer de toute facilit pour contrler les installations de son
prestataire externe ;
la rentabilit des oprations doit tre connue et faire lobjet, pour lavenir, de prvisions
ralistes, qui doivent tenir compte des importants investissements ncessaires et de
lincertitude sur la stabilit de la clientle.
en matire de lutte contre le blanchiment
Le Livre blanc souligne les risques importants en matire de blanchiment induits par
loffre de services financiers sur Internet et la vigilance toute particulire qui est requise des
tablissements intervenant par ce canal. Il soulve galement les difficults dapplication des
dispositions de la loi du 12 juillet 1990 en matire didentification lors de lentre en relation
daffaires avec un client qui nest pas physiquement prsent.
-
Des prconisations sont faites en matire dentre en relation avec la clientle, pour viter
que des comptes soient ouverts sous de fausses identits ou par des prte-noms en profitant
des difficults didentification dues une relation dmatrialise. Il est recommand en
particulier que des mesures spcifiques permettant dtablir lidentit du client soient mises
en place telles que notamment, lobtention de pices justificatives supplmentaires ou des
mesures additionnelles de vrification. Par exemple, le dossier douverture de compte,
comprenant notamment lidentifiant et le mot de passe du client (ou son quivalent) peut
tre envoy par la poste, si possible avec accus rception. Enfin, il est apparu ncessaire
de souligner que le fonctionnement dun compte - y compris la rception de fonds et
dinstruments financiers - ne peut tre autoris quune fois que la procdure didentification
a t acheve.
Sur le contrle des oprations douteuses, a t identifie, comme protection de base, la

ncessit du contrle exerc sur le fonctionnement des comptes par les responsables
clientle, qui doivent recevoir une responsabilit claire ce titre et les moyens de la mettre
en uvre. Il est souligner quen ltat de la technique, il est difficile, voire impossible, de
savoir si la personne faisant fonctionner le compte est rellement celle qui la ouvert.
24
INTRODUCTION
Ce Livre blanc est issu dune collaboration entre des reprsentants dtablissements de
crdit et dentreprises dinvestissement et des agents de la Banque de France et du Secrtariat
gnral de la Commission bancaire, au sein de groupes de travail dont la composition figure
en annexe. La rflexion, qui sest appuye sur un document de discussion et dtudes disponible
sur le site de la Banque de France, sest concentre sur trois domaines:
-
conditions daccs lexercice de la profession ;
scurit;
contrle interne et lutte contre le blanchiment.
Le cadre dexercice des activits bancaires et financires sur Internet est analys et
prcis en premire partie. En pralable, il convient de noter quInternet prsente une nouvelle
donne pour loffre de services bancaires et financiers tant en raison de la nouvelle relation de
clientle qui prvaut sur ce canal de distribution, des nouveaux oprateurs et des nouvelles
pratiques qui se dveloppent, que de la nature transfrontalire de loffre (point 1). Il dcoule
de cette analyse les conditions daccs lactivit bancaire et financire sur Internet (point 2),
quil sagisse des oprateurs dun pays tiers lespace conomique europen (EEE) ou des
pays de lEEE. Lexamen des conditions daccs lactivit bancaire et financire sur Internet
ne peut pas faire lconomie dune analyse supplmentaire concernant le droit applicable
lexercice de cette activit (point 3.). Le cadre dexercice de lactivit bancaire et financire
sur Internet est prsent sous forme de grille danalyse des diffrentes relations prestataires/
clients. Ces dveloppements sont destins faciliter la matrise du risque juridique affrent
une relation transfrontalire, sans pour autant prsenter une analyse exhaustive des rgles de
droit. Enfin, le droit de la preuve dans le contexte dInternet est prsent.
Outre ces risques juridiques lis une prestation transfrontalire, sont exposs dans
une seconde partie les risques, dun point de vue prudentiel, de lusage de ce canal de
distribution. Si les risques financiers sont de mme nature (point 4.), lInternet accentue la
porte des risques oprationnels, qui restent de nature traditionnelle (point 5.) :
-
risques juridiques;
risques lis la scurit des systmes dinformation et des transactions en ligne;
risques en matire de blanchiment prsents par lusage dInternet.
Enfin, tant l anonymat relatif du client, laccentuation de la concurrence que la

faible culture de risque de certains prestataires de services sur Internet appellent la prudence
sagissant de la matrise des risques sur les clients et les contreparties (point 6.).
25
Les recommandations relatives la matrise des risques, tant au niveau de lagrment

quen matire de contrle permanent figurent dans la troisime partie. Elles revtent un
caractre de bonnes pratiques et portent:
-
sur lassise financire et le suivi de la rentabilit (point 7.);

sur la matrise des risques oprationnels (point 8.);
sur la matrise du risque sur les clients (point 9.).
A ce titre, les tablissements de crdit et les entreprises dinvestissement sont invits

prendre connaissance des bonnes pratiques quexposent ce Livre blanc et son annexe technique,
qui prsente un guide dlaboration dune politique de scurit Internet rdig par le Forum
des comptences.
26
PREMIRE PARTIE
LACCS A LEXERCICE DACTIVITS

BANCAIRES ET FINANCIRES SUR
INTERNET
27
LACCS A LEXERCICE DACTIVITS BANCAIRES ET

FINANCIRES SUR INTERNET
1. Lexercice dactivits bancaires et financires sur
Internet introduit-il une nouvelle problmatique en
matire dagrment des oprateurs?
Apparue il y a quelques annes, loffre de services bancaires et financiers sur Internet continue
aujourdhui se dvelopper et conqurir de nouveaux publics. La France et lensemble des pays
europens connaissent ainsi un mouvement comparable celui dj constat aux tats-Unis.
Ce dveloppement est bien videmment li au formidable essor de la nouvelle
conomie qui se met en place sur le rseau mondial. Au cur des nouveaux services, dits de
la socit de linformation - il sagit de lexpression choisie par la directive commerce
lectronique pour dsigner les services offerts sur Internet - les services bancaires et financiers
sont en effet particulirement recherchs par lensemble des acteurs du commerce lectronique
en ce quils permettent la ralisation des oprations de paiement qui sont essentielles la
conclusion en ligne de relations commerciales.
Mais leur dveloppement tient galement dans la demande grandissante de la
clientle bancaire et financire daccder sur le rseau une offre quivalente celle
dont elle peut dj disposer dans les agences des tablissements. Ce sont ces spcificits,
notamment la facilit dutilisation, qui favorisent ainsi lmergence de loffre de services
bancaires sur Internet.
Les autorits dagrment franaises ont suivi ces volutions, notamment au travers des
diffrents projets de cration dtablissements se destinant une offre de services par Internet.
Elles ont galement eu rpondre aux nombreuses questions juridiques poses par les
professionnels ou leurs conseils concernant lexercice de telles activits. Elles ont pu cette
occasion porter une apprciation sur limpact de lInternet dans les modes de ralisation des
oprations de banque ou des services dinvestissement.
1.1. Internet et lexigence dune autorisation pour exercer des

activits bancaires et financires
Raliser des oprations bancaires ou financires par Internet ne constitue pas un type
nouveau dactivit. Le rseau joue simplement le rle dun nouveau mdia permettant lexercice
de ces oprations distance, sans considration de frontires gographiques.
Internet offre de fait chaque site web la possibilit daccs un march mondial.
Cest mme ce sentiment dubiquit qui a pu amener certains acteurs du rseau dfendre
lide dun espace nouveau parce que dlocalis et constitu uniquement de rapports entre
ordinateurs, chappant aux droits nationaux des tats. Cette ide originelle est bien entendu
contestable et il est largement reconnu dsormais, tant en France qu ltranger, que chaque
acteur du monde Internet, consommateur, fournisseur daccs, hbergeur et offreur, reste soumis
29
aux dispositions des droits nationaux applicables aux oprations quil exerce, comme le rappelle
le Conseil dEtat dans son rapport Internet et les rseaux numriques de 1998.
Ainsi, les oprations de banque ou les services dinvestissement effectus sur Internet
sont couverts par les rglementations gnrales et sectorielles applicables ces activits.
ce titre, comme dans la plupart des tats, lexercice de ces oprations est rserv, en
France, des entreprises ayant obtenu un agrment en qualit dtablissement de crdit ou
dentreprise dinvestissement de la part des autorits comptentes. Pour lensemble des
oprations bancaires et financires, lexception du service dinvestissement de la gestion de
portefeuille pour le compte de tiers, pour lequel la Commission des oprations de bourse est
seule comptente, cest le Comit des tablissements de crdit et des entreprises dinvestissement
(CECEI) qui est charg, par la loi bancaire du 24janvier1984 et la loi de modernisation des
activits financires du2juillet1996, de dlivrer ces agrments.
Lexercice doprations bancaires ou financires sur le rseau requiert donc que son
promoteur dispose dun agrment en qualit dtablissement de crdit ou dentreprise
dinvestissement, si cela nest pas dj le cas. De mme, si son activit sur Internet slargit
de nouveaux services non couverts par le champ de lagrment qui lui a t accord
prcdemment, il devra veiller demander llargissement de celui-ci.
Lagrment ne se rduit pas la dlivrance dune autorisation dexercer. La procdure
prvue par la lgislation et la rglementation est destine garantir laptitude des oprateurs
exercer en toute scurit des activits lies la manipulation davoirs montaires ou de titres
pour le compte de leur clientle. Les autorits doivent donc veiller au respect par les prestataires
dun certain nombre dexigences portant sur le montant de leurs ressources et la solidit de
leur actionnariat, sur lhonorabilit et lexprience de leurs dirigeants, ainsi que sur les moyens
techniques de leur organisation. Dans le cadre des missions qui lui sont dvolues par la loi
bancaire, le Comit des tablissements de crdit et des entreprises dinvestissement procde
un examen approfondi tant du programme dactivits et des moyens techniques et financiers
appels tre mis en uvre que de laptitude des candidats raliser des objectifs de
dveloppement dans des conditions compatibles avec le bon fonctionnement du systme
bancaire. Paralllement, et conformment la loide modernisation des activits financires,
le CECEI ralise un examen similaire lors de lagrment relatif la prestation de services
dinvestissement, sur la base dune approbation des programmes dactivits par le Conseil des
marchs financiers et, le cas chant, par la Commission des oprations de bourse.
Est-il possible sur ces bases de conclure que lexercice dactivits bancaires et
financires par Internet nemporte aucune consquence en matire dagrment?
Le fait mme que les oprations effectues par Internet continuent relever du droit
bancaire et financier existant pose ncessairement la question de savoir si les exigences qui
fondent aujourdhui la dlivrance de lagrment demeurent adaptes. Les rflexions qui suivent
permettent de tracer les changements quintroduit lusage dInternet dans lexercice doprations
bancaires et financires. Elles font apparatre des questions tenant laptitude des acteurs
effectuer ces services, la licit de pratiques nouvelles, la modification de la relation entre
le prestataire et son client, ainsi quau caractre transfrontalier de loffre.
30
1.2. Une nouvelle donne pour loffre de services bancaires et

financiers
Internet transforme profondment la relation entre loprateur et ses clients en permettant
ceux-ci de sinformer et de dcider distance, ventuellement par del les frontires des
tats, tout en bnficiant dune plus grande diversit de propositions de services et dune plus
grande concurrence des offres.
1.2.1.
Une nouvelle relation clientle
Originellement rduits de simples sites vitrine prsentant lentreprise, les sites

web bancaires franais ont maintenant volu vers de vritables sites transactionnels o la
clientle de ltablissement peut obtenir des informations sur les produits bancaires proposs,
suivre ses comptes, effectuer des oprations lies la gestion de ceux-ci (virements, commandes
de chquiers), voire contracter des prts ou raliser des oprations dinvestissement.
Louverture dun site web modifie ds lors le rapport que le prestataire entretient avec
sa clientle. La relation en agence est rduite et le client dispose dsormais dun service convivial
et complet de banque domicile. Le dplacement au guichet peut mme tre potentiellement
supprim si ltablissement fait ce choix et trouve une clientle acquise au confort dune
relation totalement dpersonnalise.
Deux types de sites doivent ainsi tre diffrencis. limage des services audiotel et
minitel plus anciens, certains ne sont pour le client que de simples outils dinformation et de
ralisation doprations qui constituent le prolongement dune relation tablie au pralable en
agence. Dautres, au contraire, se conoivent totalement comme un service en ligne (on line
banking ou on line brokerage), et acceptent que la relation contractuelle initiale (par exemple
louverture dun compte) soit conclue distance de mme que les oprations de gestion qui
suivent. Cest ce second type de site web bancaire ou boursier qui devrait seul retenir la
qualification de banque/entreprise dinvestissement sur Internet ou de banque/entreprise
dinvestissement virtuelle, ce qui induit lide que ces tablissements nont pas dimplantation
physique destine laccueil de la clientle. Les premiers sites ne sont que des services daccs
distance ltablissement et sont complmentaires de la relation dagence dj tablie.
Cette deuxime situation concerne encore peu dtablissements bancaires en France,
comme dans les autres pays. Elle est cependant dj choisie par la plupart des sites boursiers
spcialiss pour attirer plus facilement une clientle nouvelle. Ce mode de relation compltement
virtuel va donc se dvelopper. Il est en effet moins coteux pour les nouveaux entrants sur
ce march qui peuvent ainsi se dispenser dun rseau dagences. En outre, un certain nombre
de textes lgislatifs dordre communautaire ou national favorisant le commerce lectronique
viendra prochainement encadrer ce mode doffre de services en laborant un cadre juridique
reconnaissant la validit de ces pratiques. Cest le cas de la directive 2000/31/CE du Parlement
europen et du Conseil du 8 juin 2000 relative certains aspects juridiques des services de la
socit de linformation, et notamment du commerce lectronique, dans le march intrieur
(directive sur le commerce lectronique), de la directive 1999/93/CE du Parlement europen
et du Conseil, du 13 dcembre 1999, sur un cadre europen pour les signatures lectroniques,
31
ainsi que de la proposition de directive concernant les services financiers distance. Cest le
cas galement de la prochaine loi franaise relative la socit de linformation.
Enfin, la technologie de lInternet continue, quant elle, se perfectionner pour faciliter
cette progression en rpondant aux rticences lies une relation dpersonnalise (incrustation
de la voix et de limage sur la page web par exemple). Bien entendu, le choix entre ces deux
modes opratoires nest pas antinomique et ceux-ci peuvent tout fait coexister sur un mme
site de faon satisfaire des clientles de profils diffrents.
La cration dune banque ou dune entreprise dinvestissement virtuelle, mme si elle
peut dboucher sur une exploitation moins coteuse compte tenu de la diminution des structures
commerciales, doit cependant prvoir un investissement lev pour lachat du systme
dinformation matriel et logiciel, son installation et la recherche de la clientle. Ce dernier
aspect acquiert mme des proportions trs importantes dans le plan de dveloppement des
socits qui ouvrent un site Internet, avec un retour sur investissement souvent trs tardif. Les
budgets publicitaires trs importants qui y sont consacrs doivent ainsi tre mis en perspective
avec la grande fragilit de la relation clientle qui sinstaure. En effet, pouvant en permanence
comparer les offres et faire jouer la concurrence, ladhsion commerciale un site du client
internaute est volatile.
La matrise de ces investissements et le bon quilibre financier de lexploitation de tels
systmes sont donc particulirement importants sagissant dactivits relatives la rception
de fonds et lpargne publique.
La clientle tire un avantage de lutilisation de ce canal de distribution la fois parce
quelle peut lgitimement en attendre une baisse des frais lis aux oprations quelle effectue
et parce quelle peut plus aisment comparer les offres concurrentes avant de sengager. Il est
noter cependant quelle se trouve soumise au dispositif technique mis en place par le
prestataire, tel quil rsulte notamment du mode denchanement des crans, du contenu
informatif dlivr et du systme de validation des ordres. Bien souvent, le client sera alors en
situation de devoir adhrer telle ou telle proposition sans avoir pu en modifier ses
caractristiques et sans avoir pu en discuter avec un conseiller commercial de ltablissement.
Cest pourquoi la capacit dun consommateur disposer dune bonne connaissance des
conditions de son engagement dans un environnement Internet est une proccupation majeure
des autorits.
Le dveloppement de la banque et de la finance sur Internet suppose que la clientle
adhre ce nouveau mode de relation. Or cela ne pourra se faire sur la base du seul avantage
dun confort dutilisation de la part du client. Ce dernier attend lgitimement un service assorti
des meilleures conditions de scurit en raison de la sensibilit du contenu des informations
financires changes via le rseau et traites sur les ordinateurs du prestataire. Il attend
galement des assurances concernant lidentit de loprateur. Celles-ci sont essentielles compte
tenu des nombreux risques de malveillance informatique existant sur ce rseau ouvert. Elles le
sont galement dans la mesure o lmergence de lexercice dactivits bancaires et financires
sur Internet fait apparatre de nouveaux acteurs et de nouvelles pratiques.
32
1.2.2.
De nouveaux oprateurs et de nouvelles pratiques
En se dveloppant, loffre de services bancaires et financiers sur Internet dpasse la

sphre des seuls tablissements de crdit et des prestataires de services dinvestissement
existants. Elle attire de nouveaux oprateurs, venant dautres mtiers, notamment
linformatique, et dsireux dexercer ces activits. Il est aussi frquent, dans ce domaine
domin par la matrise de technologies nouvelles, que les tablissements de crdit et les
entreprises dinvestissement dlguent des prestataires externes la conception, la mise
en uvre, voire lexploitation de leur site Internet. Les autorits dagrment doivent
sur ce point veiller ce que les oprateurs agrs gardent la responsabilit et la matrise
des services bancaires et financiers effectus par ce moyen.
En outre, comme pour dautres services proposs sur la toile mondiale, apparaissent
de nouveaux modes dintermdiation pour la prsentation des offres. Cest, par exemple, la
cration par des socits non-tablissements de crdit ou non-prestataires de services
dinvestissement, de portails rassemblant, autour dun contenu de nature informative, un
ensemble de liens hypertextes vers les sites de prestataires partenaires dont loffre est
ventuellement dcrite. Lutilisation dInternet renforce de ce fait la ncessit pour la
clientle de pouvoir disposer dune information sre concernant lidentit de loprateur
et sa capacit juridique offrir ses services. Les autorits devraient en consquence
veiller adapter les procdures existantes ds lors que des services en ligne sont proposs.
Par ailleurs, la sensibilit du rseau aux actes de malveillance informatique offre un
terrain particulirement propice louverture clandestine de sites proposant des services
bancaires et financiers sans disposer dun agrment cet effet, voire la contrefaon de sites
rgulirement constitus. Ce risque amne naturellement les autorits en charge du respect
des obligations lies lagrment renforcer leur vigilance concernant de tels prestataires.
Enfin, le sentiment de nouveaut et de libert quinspire le rseau mondial a
naturellement suscit lapparition de pratiques douteuses en matire dintermdiation bancaire
et financire, comme lusage de monnaies prives, plus ou moins lies des systmes de
fidlisation, ou la mise en uvre de systmes de troc de biens et de services. Certaines activits
dintermdiation, comme celles pouvant consister grer des moyens de paiement, qui
peuvent se situer en dehors du primtre des oprations rserves aux tablissements
de crdit ltranger, sont galement susceptibles, lorsquelles sont exerces en France,
dentrer dans la dfinition des oprations de banque faite par la loi bancaire. Elles
peuvent alors comporter des risques sur le bien collectif que sont les moyens de paiement et
ncessitent donc une veille particulire des autorits montaires. Ainsi, sur cette question des
activits exerces sur Internet galement, la vrification de la licit des oprations par les
autorits en charge de lagrment est essentielle pour protger la clientle et assurer lensemble
des prestataires de lInternet des conditions gales dexercice des activits.
1.2.3.
La nature transfrontalire de loffre
Plus que la dpersonnalisation et lautomatisation, Internet prsente pour caractristique

essentielle la distance dans les rapports client-fournisseur. Cet loignement ne contrarie pas
33
linternaute puisquil peut dialoguer avec loprateur, cest--dire obtenir les informations
quil recherche et passer des ordres. Chacune des parties opre ainsi sur le rseau via un
ordinateur dont lloignement gographique et limplantation sont indiffrents. La localisation
de ces machines est constitue par leur adresse sur le rseau. Celle dun site web est enregistre
auprs des instances charges de ladministration des noms de domaine qui sont organises
sur des bases nationale et mondiale. Il est toutefois noter que malgr le rattachement indicatif
un pays, la localisation dun site reste incertaine compte tenu de la nature mme du rseau
ouvert qui est construit en maillage, de ses nombreuses possibilits de reroutage et de la libert
de lenregistrement de sites auprs dautres autorits nationales que celles du lieu dimplantation
du prestataire (par exemple lenregistrement dun oprateur franais en .com, auprs des
instances amricaines).
En matire bancaire et financire, o les oprations sont rserves des tablissements
rgulirement agrs par les autorits du pays dans lequel ils exercent une activit, cette
dimension transnationale prsente un certain nombre de difficults, essentiellement pour ce
qui concerne les tablissements autorisant la clientle traiter entirement par le rseau.
Le service tant ralis distance, deux questions essentielles se posent. Il faut dabord
dterminer si loprateur dispose de la capacit juridique exercer son activit sur un territoire
donn, notamment si celle-ci est effectue dans un autre tat que celui de son lieu
dtablissement. Il est ensuite important de connatre le droit applicable aux oprations qui
vont tre conclues avec une contrepartie non-rsidente.
Bien sr, lexercice dactivits bancaires et financires transfrontalires nest pas nouveau.
Ces situations sont traites par des dispositions adquates des droits nationaux des tats et du
droit international. Fond sur le principe de la reconnaissance mutuelle des agrments, le droit
europen, qui concourt la mise en uvre dun vaste march unique, offre mme un cadre
labor et harmonis. Mais les spcificits de lutilisation dInternet, qui tiennent labolition
des distances et au caractre transactionnel des ordres, peuvent compliquer linterprtation
des textes existants. Ainsi, il peut tre difficile dapprcier la localisation des oprations et
de dterminer si elles sont effectues auprs du prestataire ou auprs du client. De mme,
le caractre mondial du rseau oblige naturellement favoriser lmergence de standards
internationaux quant la stabilit des acteurs et la scurit des clients et des marchs.
Lapprofondissement de la rflexion sur ces points est important pour permettre aux
autorits en charge de lagrment de mesurer la lgalit et la scurit des oprations effectues
sur Internet.
Il est ainsi constat que loffre de services bancaires et financiers par Internet modifie
sensiblement les conditions traditionnelles dexercice de ces activits. Lessor de ce nouveau
mode de relation daffaires, qui facilite ltablissement de contrats transfrontaliers et qui modifie
la relation avec la clientle tout en suscitant lapparition de nouveaux acteurs, amne les autorits
clarifier un certain nombre de situations et prciser certaines exigences lies lagrment
concernant les conditions daccs une telle activit et au droit applicable aux oprations.
34
2. Les conditions daccs lactivit bancaire ou financire

sur Internet
2.1. La capacit agir du prestataire
Un prestataire bancaire ou financier peut exercer sur un territoire donn comme la
France, seul ou avec laide dintermdiaires, diffrents types dactivits allant de la simple
offre de services la ralisation de la prestation bancaire ou financire proprement dite. La
limite entre ces deux types dactivit est parfois tnue, notamment lorsquils sexercent sur la
toile, mais leur rgime juridique doit tre diffrenci. La fourniture du service bancaire ou
financier relve des dispositions requrant lagrment ou lautorisation dexercer. Ainsi, seuls
les tablissements de crdit rgulirement agrs en France ou pouvant se prvaloir dun
agrment du mme type dlivr par une autre autorit de lEspace conomique europen,
peuvent raliser des oprations bancaires en France. Il en va de mme pour les entreprises
dinvestissement pour la fourniture de services dinvestissement. Mais la ralisation sur notre
territoire de simples offres de services, sans accomplissement des prestations correspondantes,
relve seulement des dispositions relatives la sollicitation de la clientle et non directement
du droit de lagrment.
Chacun de ces rgimes juridiques impose un certain nombre de conditions pour la
reconnaissance de la capacit dun acteur raliser ces activits sur le territoire franais. On
distinguera donc la question de la capacit agir selon chacun de ces deux types doprations.
2.1.1.
La capacit dun prestataire exercer des activits bancaires ou

financires en France
Sagissant, en matire bancaire et financire, dactivits soumises autorisation

pralable, les autorits en charge de lagrment dtermineront si un prestataire intervenant par
Internet exerce illgalement des activits sur leur territoire de comptence. Cela pose la question
de savoir o est exerce la prestation pour laquelle un agrment est requis.
Par rapport aux relations daffaires tablies avec des pays tiers, celles conclues au sein
de lEurope sinscrivent sur ce point dans un cadre juridique plus simple puisque le march
unique europen offre aux prestataires de lEspace conomique europen une libert de
prestation de services au sein de la zone toute entire sur le fondement de lagrment reu
dans leur pays dorigine. On raisonnera donc dabord sur la base de situations gnrales
applicables aux prestations en provenance ou destination de pays tiers lEspace conomique
europen puis on tudiera spcifiquement le cadre europen.
2.1.1.1.
La dtermination du lieu dexercice des oprations
Les services bancaires et financiers rservs aux seules entreprises agres en qualit
dtablissement de crdit ou dentreprise dinvestissement en France sont dfinis par les articles
14 de la loi bancaire et 4 de la loi de modernisation des activits financires.
35
Lorsque le prestataire sur Internet offre de conclure immdiatement par voie lectronique
une opration de banque ou de fourniture de services dinvestissement, il est essentiel, pour
savoir si cette opration entre dans le champ dapplication du monopole prvu par les lois
franaises, de dterminer le lieu o cette opration est effectue.
Comment dterminer ds lors si lopration rserve est effectue au lieu dimplantation
du prestataire ou celui du client?
Il nous semble quil faut considrer que le rseau Internet nest quun moyen technique
de communication distance permettant un internaute quel quil soit dentrer en relation
avec un service prvu cet effet par un oprateur dtermin. En matire informatique en
effet, cette relation consiste simplement en un accs distance un serveur par un poste
client.
Au plan des principes, il faudra donc rechercher le lieu daccomplissement de la
prestation caractristique du contrat. Celle-ci est entendue comme la prestation pour laquelle
le paiement est d. Dans certaines situations, elle pourrait tre difficile identifier, comme
dans le cas de la ngociation pour compte propre, ou lorsque le service est excut dans un
pays autre que celui du client ou celui du prestataire. Cela tant, il y aura gnralement lieu de
considrer que les oprations concrtes douverture de compte et de gestion des oprations,
qui caractrisent les services bancaires et financiers, mme commandes par un client situ
ltranger, seffectuent sur les ordinateurs et au sein du systme dinformation et de gestion
du prestataire, donc normalement au lieu de son implantation administrative ou oprationnelle
(oprations sur les comptes tenus dans ses livres, octroi de crdit par inscription en compte ou
virement, passation dordres sur le march rglement auquel il accde). Sil y a dissociation
entre le lieu o est implant le serveur hbergeant le site du prestataire et le lieu de son systme
de gestion, o sont tenus les comptes, il y aura lieu de considrer ce dernier comme pertinent.
Bien videmment, la ralit des schmas de fonctionnement mis en uvre par certains
prestataires peut tre plus complique et, par exemple, mobiliser en relais les services dun
correspondant dans le pays du client pour faciliter ce dernier la ralisation de ses oprations
transitant par les systmes de paiement ou de rglement-livraison domestiques. Dans de tels
cas, il appartient aux autorits dapprcier sil y a ralisation doprations bancaires ou
financires en France.
De mme, linterprtation doit tre diffrente de celle donne pour le cas gnral
expos plus haut si Internet permet au prestataire de raliser le service en apportant
lobjet de celui-ci directement sur lordinateur du client. Cela pourrait par exemple tre le
cas dans lhypothse o un prestataire effectuerait une mise disposition de monnaie
lectronique depuis son site directement sur le poste du client ou sur la carte dite
porte-monnaie lectronique insre dans un lecteur attach ce poste. Nanmoins,ces
cas restent pour linstant marginaux. Il pourrait galement en tre autrement si les prestations
caractrisant le contrat ntaient effectues ni au lieu dtablissement du prestataire, ni sur
lordinateur du client, mais nanmoins dans le pays du client (octroi des fonds directement
sur un compte localis dans ce pays par exemple, mise la disposition du public dun
moyen de paiement tel une carte de retrait ou une carte de paiement).
36
La seule ouverture dun site web bancaire ou financier, par nature accessible
distance et donc de ltranger, ne place donc pas son promoteur en situation dexercice
illgal de la profession sur dautres territoires que celui de son lieu dtablissement. De
mme, la connexion dun client originaire dun tat autre que celui du site bancaire ou
financier, limage du dplacement physique ltranger de celui-ci dans une agence
de ltablissement, ne doit pas ipso facto faire considrer que le prestataire exerce via
son site une activit sur le territoire du client.
2.1.1.2.
Les diffrents cas dexercice par Internet doprations bancaires ou financires

en France
Pour lautorit dagrment, diffrents cas de figure sont analyser pour dterminer la
ralisation en France doprations soumises autorisation.
Le cas des entreprises de droit franais qui exercent leur activit sur Internet avec la
clientle franaise ne pose videmment pas de problme de localisation du service. Comme
pour des services effectus en agence, une telle activit est soumise lagrment du CECEI.
Quelle est en revanche la situation des socits implantes ltranger qui exerceraient
des oprations bancaires ou des services dinvestissement en France? Le CECEI doit apprcier
si lexercice de leur activit ncessite quelles se mettent en conformit avec les dispositions
relatives lagrment en France. Or, certaines pourront avoir spontanment fait le choix douvrir
une structure agre, alors que dautres choisiront des modes dtablissement des relations
daffaires ne faisant pas appel une entit rgulirement habilite. Lattention de ces socits
doit alors tre porte sur le fait que certains de ces modes peuvent tre considrs par le
CECEI comme des cas de prsence permanente en France, ncessitant un agrment.
Dans tous les cas, il doit bien entendu tre rappel que lobligation dagrment sapplique
aux activits bancaires et financires telles que dfinies par la loi bancaire et la loi de
modernisation des activits financires, et non telles que dfinies par la lgislation du pays
dorigine desdites socits.
2.1.1.2.1.
Le choix de louverture dune structure agre
Il est possible que le prestataire dun pays tiers lEspace conomique europen, qui
dsire offrir ses services la clientle franaise, choisisse de lui-mme de stablir en France
en ouvrant une filiale ou une succursale qui mettra en uvre un service sur Internet destination
de cette clientle. Cette dmarche peut tre motive par des considrations commerciales en
ce quelle permet au prestataire de mieux se faire connatre auprs du public et de rassurer sur
la prennit de son offre. Il est en effet frquent que la prestation en ligne sassortisse de la
cration dun rseau minimal dagences destines au contact avec la clientle et la promotion
de loffre sur Internet.
Vis--vis des autorits franaises, lentreprise aura alors solliciter un agrment pour
la cration de la filiale ou de la succursale et sera par ailleurs soumise aux dispositions franaises
de nature lgislative ou rglementaire relatives lexercice dactivits bancaires ou financires
(sur les modalits prcises douverture de cette implantation et sur la doctrine du CECEI en la
37
matire, voir le Rapport annuel pour 1999 du Comit des tablissements de crdit et des
entreprises dinvestissement, points 8.2.1 et suivants).
La situation peut videmment tre moins simple. En effet, lapport technologique
dInternet facilite la sollicitation sur le rseau, par des offreurs oprant depuis leur pays
dtablissement, dune clientle rsidant dans un autre tat. Les autorits franaises doivent
ds lors analyser au cas par cas si de telles activits, lorsquelles sont effectues en France, ne
doivent pas tre considres comme constituant une prsence permanente de loffreur en
infraction avec le monopole bancaire et financier pos par la loi bancaire et la loi de
modernisation des activits financires (voir point 2.1.3).
2.1.1.2.2.
Cas sapparentant une prsence permanente en France
Bien avant lessor dInternet, le CECEI a eu examiner la question du champ

dapplication territorial des dispositions poses par la loi bancaire concernant le monopole
des activits en France. Ce point est en effet essentiel au respect de conditions gales de
concurrence pour lensemble des prestations exerces en France et pour la protection de
lpargne et la scurit des paiements. Le CECEI a ainsi pu considrer que les formes de
prsence entretenues de faon permanente par des tablissements trangers sur notre
territoire pouvaient tre assimiles un exercice doprations bancaires en France, ds
lors que les clients franais taient dispenss de sadresser directement loprateur
tranger et quils pouvaient conclure valablement en France.
Ainsi, le fait pour un prestataire tranger de proposer ses services en France, en y
ouvrant un simple bureau gr par le personnel de lentreprise, ou en mandatant un intermdiaire
qui y est tabli durablement, peut constituer une prsence permanente de cet tablissement
sur notre territoire ds lors que la clientle franaise pourra se dispenser de sadresser
directement lui et que loprateur tranger se reconnatra valablement engag par les actes
conclus par lentremise du bureau ou de lintermdiaire. Ds lors, ces activits devront tre
autorises par lautorit dagrment franaise.
Bien entendu, dans lapprciation de cette position, le CECEI a tenu compte ds 1993
de louverture du march unique des services bancaires et financiers pour les activits exerces
de cette manire par les tablissements installs dans lEspace conomique europen. Il est
alors admis que le prestataire dun autre tat membre exerce ses activits en libre tablissement.
Cette position a t expose la Commission europenne et a encore t rappele pour les services
dinvestissement dans le rapport au Comit La libre prestation de services en matire de services
dinvestissement (novembre 1998). Les raisonnements qui suivent traiteront donc du cas de
prestataires installs dans des pays tiers lEspace conomique europen. La situation des pays
appartenant lEspace conomique europen est analyse au point 2.1.1.2.3.
La technologie du rseau Internet aidant, il est probable que des prestataires trangers
ne disposant pas de structures agres en France tentent de dvelopper une prsence sur Internet
en France pour approcher avec la plus grande efficacit commerciale la clientle franaise. Il
convient alors de qualifier ces formes de prsence pour considrer si elles constituent une
prsence permanente en France. Plusieurs cas sont envisageables:
38
a)
Le prestataire ouvre en France un site web prsent en franais, en y localisant un

serveur et en affichant ventuellement la clientle franaise un nom de domaine en
.fr. Il souhaite ainsi cibler la clientle franaise en lui prsentant une offre adapte
au march franais et en la rassurant sur lorigine gographique de son offre, alors que
les oprations bancaires ou financires pourront continuer tre in fine ralises au lieu
o le prestataire a son administration et son systme de gestion. Ds lors que la localisation
gographique en France de linstallation serait certaine, et que lon pourrait considrer
que la clientle franaise na ds lors qu sadresser au serveur situ en France pour
conclure valablement des oprations avec le prestataire, le serveur pourrait tre assimil
une prsence permanente de loprateur en France. Un tel dispositif obligerait le
prestataire, conformment aux critres poss par le CECEI, requrir louverture dune
filiale ou dune succursale dment agre.
b)
De la mme faon quil est dcrit ci-dessus, le prestataire peut ouvrir un site en France
mais en destinant celui-ci la simple information du public et non la ralisation
doprations de banque ou de services dinvestissement. Il sagira ainsi, par exemple,
de diffuser des communications relatives la socit. Le site remplirait alors la fonction
habituelle dun bureau de reprsentation et devrait donc, conformment la loi, notifier
sa demande douverture au CECEI (articles 9 de loi bancaire et 81-I de la loi de
modernisation des activits financires).
c)
Linscription sur un site portail franais dun lien hypertexte renvoyant vers le site dun
prestataire tranger est plus difficile caractriser. En effet, un tel lien nest pas toujours
tabli sur demande ou mme accord du site destinataire. De nombreux annuaires ou
portails composent eux-mmes de vritables bouquets de services, de sorte quil est
difficile de dterminer si le prestataire a rellement souhait tre prsent par ce moyen
sur les sites du rseau localisables en France. Cela pourrait toutefois tre le cas si le lien
hypertexte tait accompagn par exemple des signes commerciaux distinctifs de
ltablissement tranger (logo, message commercial) car ce type daffichage est le plus
souvent caractristique dun vritable partenariat entre le portail et le prestataire. La
question se pose alors de savoir si loprateur, dont le site lui-mme reste localis
ltranger, remplit les critres poss par le CECEI pour dterminer une prsence
permanente en France. Mme si une analyse des situations particulires est ncessaire,
il semble que dans ce type de relation, le client ne peut conclure avec lintermdiaire un
contrat engageant valablement loprateur tranger. Il ne dispose de fait que dun accs
simplifi au site de celui-ci mais il doit prendre linitiative de sy connecter. Les critres
poss par le CECEI ne seront donc vraisemblablement pas remplis. En revanche,
dfaut de prsence permanente il pourra quand mme sagir dune sollicitation de la
clientle franaise exerce sur le territoire franais. Celle-ci entrerait alors dans le champ
des dispositions relatives la publicit et au dmarchage.
Il se peut galement que, sur la base de partenariats avec des tablissements de crdit
ou des entreprises dinvestissement franais disposant de sites Internet, le prestataire soit
accessible aux clients franais de ces sites par un lien hypertexte. Dans cette hypothse, le site
du prestataire franais proposerait la commercialisation de services raliss par le prestataire
tranger. Cette situation doit tre distingue de la simple relation de type correspondent
39
banking qui fait intervenir deux oprateurs pour excution des ordres de lun sur le march
de lautre. En la matire, le CECEI a jusqu prsent rserv sa position et na pas considr
que le recours un partenariat avec un tablissement dment agr devait requrir une
habilitation quelconque en France du prestataire tranger.
Pour linterprtation de lensemble de ces situations, qui peuvent prsenter une grande
varit dans les dispositifs techniques mis en uvre, la Banque de France et la Commission
bancaire adhrent au principe dutilisation dun faisceau dindices permettant de distinguer
lexercice dactivits rglementes en France.
2.1.1.2.3.
Internet et le march unique europen des services bancaires et financiers
Conformment aux directives bancaires et financires, les lgislations nationales des

tats membres soumettent lexercice doprations de banque et de services dinvestissement
la dlivrance dune autorisation pralable par les autorits comptentes.
Les prestataires ainsi agrs bnficient, sur le fondement du Trait de Rome, de la
deuxime directive de coordination bancaire et de la directive sur les services dinvestissement
qui prvoient la reconnaissance mutuelle des agrments, dune libert dtablissement et dune
libert de prestation de services au sein de lensemble de la zone. Ces liberts sont destines
faciliter et favoriser lexercice doprations transfrontalires.
Sagissant de la capacit juridique exercer son activit, il ressort de ces textes quun
prestataire de lEspace conomique europen peut agir sur la base de lagrment dont il dispose
dans son pays dorigine, soit en bnficiant de la libert dtablissement, soit de la libert de
prestation de services. Celles-ci supposent nanmoins une information pralable des autorits
conformment aux articles 19 de la deuxime directive de coordination bancaire et 18 de la
directive sur les services dinvestissement. Bien entendu, la reconnaissance de ces liberts ne
vaut quau sein de lespace conomique europen et ne saurait signifier quune succursale
tablie dans un pays tiers par un tablissement de crdit communautaire peut offrir ses services
au sein de lUnion europenne.
La question se pose donc de savoir si la ralisation doprations de banque ou de
services dinvestissement par Internet, entre des parties qui rsident dans des tats membres
diffrents, entre dans lune ou lautre de ces modalits dexercice et entrane une telle obligation
dinformation. Celle-ci concourt, notamment, la bonne information des clients sur la capacit
du prestataire exercer son activit sur leur territoire.
moins que le prestataire ninstalle un site web dans le pays du client (installation
dun serveur, choix dun nom de domaine suffix par le sigle du pays, etc.) ou ne recoure des
formes dimplantation telles que dcrites prcdemment (ouverture dune filiale ou dune
succursale), la dlivrance de services bancaires ou financiers sur son site ne peut manifestement
pas sapparenter une prsence permanente dans le pays du client, ni donc relever du droit
dtablissement.
40
Quant lassimilation de la prestation par Internet une libre prestation de services, la

Commission europenne a pris position dans sa communication interprtative relative la
libre prestation de services et lintrt gnral dans la deuxime directive de coordination
bancaire (10/7/97). Elle a considr que la fourniture de services bancaires distance, par
exemple par Internet, ne devrait pas, selon [elle], ncessiter de notification pralable dans la
mesure o le prestataire ne peut tre considr comme exerant ses activits sur le territoire
du client. Elle ajoutait immdiatement tre consciente du fait que cette solution ncessitera
une analyse au cas par cas, qui peut savrer difficile.
La difficult juridique est de savoir si un prestataire a eu lintention dexercer son
activit sur le territoire dun autre tat membre. La Commission semble considrer que la
prestation par Internet reste localise sur les ordinateurs du prestataire, qui nintervient donc
pas sur le territoire du client.
Le CECEI et les autres autorits franaises comptentes ont rserv leur position sur
ce point dans un rapport de novembre 1998 intitul La libre prestation de services en matire
de services dinvestissement. Conformment aux principes poss par le Comit, il est en
effet important dapprcier la ralit de la volont du prestataire dentrer en relation daffaires
avec une clientle non-rsidente. La prestation par Internet peut donc sapparenter une libre
prestation de services ds lors que lintention du prestataire est caractrise.
41
1. Faisceau dindices pour caractriser les cas entrant dans le champ de la libre
prestation de services
Afin de mieux caractriser les cas entrant dans le champ de la libre prestation
de services au sein de lEspace conomique europen, nous proposons qu dfaut
de manifestation expresse de cette volont par ltablissement lui-mme, les autorits
dagrment et de contrle considrent que le prestataire dsire exercer pour la
premire fois ses activits sur le territoire dun autre tat membre ds lors que
sont runis tout ou partie des indices suivants:
la conclusion doprations bancaires ou financires peut tre ralise distance

sur le site du prestataire par un client non rsident, sans que celui-ci soit oblig
dtablir au pralable en agence une premire relation contractuelle comme
louverture dun compte;
le prestataire propose des services via un correspondant dans le pays du client ;
le site est prsent dans la langue du pays du client;
le site du prestataire est accessible via des portails localiss dans le pays du client;
le site du prestataire est rfrenc dans les moteurs de recherche du pays du

client;
le prestataire a recours des bandeaux publicitaires associs un lien hypertexte

sur des sites du pays du client;
le prestataire a recours des envois de mailings auprs de clients rsidant dans

dautres tats membres;
le prestataire se fait connatre sur les forums de discussion spcialiss en matire

bancaire et financire dans le pays du client;
le prestataire tend introduire un doute quant sa localisation gographique

prcise en utilisant un nom de domaine permettant de penser quil est install
dans le pays du client dun autre tat membre.
Bien entendu, les lments figurant ci-dessus ne sont pas tous de la mme
importance. Cest leur runion qui permet la constitution dun faisceau dindices.
Leur liste nest pas limitative et peut tre revue par les autorits comptentes en
fonction de lvolution des techniques et des pratiques utilises sur le rseau.
Les autorits franaises rechercheront ladhsion des autres autorits de
lEspace conomique europen pour parvenir une interprtation homogne des
textes en vigueur.
42
Il peut exister des relations daffaires transfrontalires sans que les indices numrs
ci-dessus soient runis, de telle faon quil nest pas possible de penser que le prestataire a
souhait exercer son activit sur le territoire du client. Il faudra alors considrer que le client
est entr de lui-mme en relation avec le prestataire et que ce dernier na pas effectuer de
dmarche de dclaration de libre prestation de services auprs des autorits comptentes.
2.1.2.
La capacit juridique dun prestataire solliciter la clientle franaise
Parce quelle peut constituer la prfiguration de lexcution dune opration bancaire

ou financire, loffre de services faite la clientle par un prestataire, directement ou
indirectement, est strictement encadre par la lgislation franaise. Ainsi, le dmarchage et la
publicit relatifs certains types doffres sont soumis conditions, le principe gnral tant
que ces activits doivent tre rserves des entreprises habilites fournir les services
correspondants sur le territoire franais, ou leurs intermdiaires.
Le prestataire peut ne pas se contenter doffrir ses services aux seuls rsidents de son
tat. Il peut entreprendre de diverses manires de faire des offres auprs de clientles trangres,
soit en stablissant dans leur tat, soit en les sollicitant pour les attirer sur son site. Les
autorits franaises doivent ainsi, au cas par cas, examiner les conditions de la lgalit
des sollicitations effectues sur le territoire franais et vrifier si elles ne sont pas
constitutives dune forme dimplantation du prestataire en France.
En effet, compte tenu du caractre ancien des textes relatifs la sollicitation et de la
varit des techniques doffres employes sur Internet, cette analyse nest pas toujours facile
mener. Plusieurs cas de figure sont dtaills ci-aprs.
2.1.2.1.
La sollicitation de la clientle
Hors les cas dimplantation dans un pays, il est trs facile un prestataire tranger de
solliciter distance la clientle dun autre tat que le sien. En effet, les pratiques les plus
frquentes de recherche de la clientle reposent classiquement sur la publicit ou le dmarchage
en direction des rsidents dun autre tat.
Ces activits ne sont pas assimilables en elles-mmes la ralisation doprations
de banque ou de services dinvestissement. Elles nemportent donc pas lobligation dun
agrment au regard de la loi bancaire ou de la loi de modernisation des activits financires.
Cependant, elles sont en France, lorsquelles ont pour objet une offre de certains services
bancaires ou financiers, strictement rserves des entits disposant dun agrment et
celles-ci font toujours lobjet dun strict encadrement juridique. Ainsi, elles sont
particulirement encadres lorsquelles sont inities par des tablissements de crdit ou
des entreprises dinvestissement trangers.
2.1.2.1.1.
La publicit
Aux termes du dcret n68-259 du 15 mars 1968, pris pour lapplication de larticle 10
de la loi n66-1010 du 28 dcembre 1966 relative lusure, aux prts dargent et certaines
oprations de dmarchage et de publicit, les personnes qui sont domicilies ou qui ont leur
43
sige social hors du territoire de la Rpublique franaise doivent, pralablement toute

propagande ou publicit faite [sous quelque forme et par quelque moyen que ce soit, en vue
de conseiller ou doffrir des prts dargent ou de recueillir, sous forme de dpts ou autrement,
des fonds du public ou de proposer des placements de fonds], avoir dsign un mandataire
domicili ou ayant son sige social en France.
De plus, aucune propagande ou publicit en vue de recueillir auprs du public des
dpts vue ou moins de deux ans ne peut tre faite par des tablissements autres que les
banques [tablissements de crdit] inscrites et les organismes habilits recevoir, sur le territoire
de la Rpublique franaise, des dpts de cette nature. Il ne peut tre fait de publicit offrant
une rmunration des dpts qui serait contraire la rglementation en vigueur en France.
Enfin, tant loffreur que, le cas chant, son intermdiaire, doivent clairement sidentifier
auprs du public et lui indiquer leur localisation.
Le dmarchage relatif des oprations bancaires ou financires est galement rserv
des tablissements, ou des personnes agissant sous leur responsabilit, autoriss exercer
en France.
2.1.2.1.2.
Le dmarchage
Aux termes de la loi n66-1010 du 28 dcembre 1966 prcite, le dmarchage en

vue de conseiller ou doffrir des prts dargent, [ou] de recueillir sous forme de dpts ou
autrement des fonds du public, [ou] en vue de proposer tous autres placements de fonds est
rserv aux tablissements de crdit. Sous rserve des conventions internationales, les
dmarcheurs agissant pour le compte de ces derniers doivent tre de nationalit franaise ou
ressortissants dun tat membre de la Communaut europenne et porteurs dune carte de
dmarchage dlivre par ltablissement. Toutefois, cette carte nest pas exige dans le cas o
le dmarcheur propose des contrats de financements crdit.
Pour tre considrs comme du dmarchage, les actes prcits doivent tre faits titre
habituel, soit au domicile ou la rsidence des personnes, soit sur leur lieu de travail, soit
dans des lieux ouverts au public et non rservs de telles fins, ou encore par envoi de
lettres ou circulaires ou par communications tlphoniques.
La loi n72-6 du 3 janvier 1972 relative au dmarchage financier et des oprations
de placement et dassurance reprend les mmes critres de dfinition et rserve le dmarchage
en vue doprations sur valeurs mobilires aux tablissements de crdit et aux prestataires de
services dinvestissement. Ceux-ci peuvent recourir des dmarcheurs auxquels ils dlivrent
une carte demploi et qui agissent sous leur responsabilit. La carte demploi ne peut tre
dlivre, sous rserve des conventions internationales, qu des personnes majeures de
nationalit franaise ou ressortissantes dun tat membre de la Communaut europenne,
seulement aprs que ltablissement a dclar au procureur de la Rpublique du lieu de son
sige social ou de ses succursales son intention de recourir ce dmarchage ainsi que le nom,
ladresse et ltat civil de ses dmarcheurs.
44
Ces dispositions sont relativement anciennes et peuvent paratre inadaptes aux pratiques
aujourdhui courantes sur Internet. Elles nont cependant pas ignor la possibilit doffres
transfrontalires mais elles les ont, au contraire, rserves dans un but de protection de lpargne
aux seuls tablissements habilits en France (ce qui inclut les prestataires de lEspace
conomique europen) ou leurs intermdiaires qui y sont localiss.
Cette position pourrait toutefois tre modifie par le lgislateur loccasion dun
projet de rforme de ces textes. Certaines dispositions sont en effet difficiles appliquer
au fonctionnement des services sur le rseau et mriteraient dtre adaptes. Mais au
del de ces amnagements dordre technique, lenjeu dun nouveau texte sera de poser
les conditions de la lgalit doffres de services effectues par Internet, auprs de la
clientle franaise, par des oprateurs situs hors de la Communaut europenne.
2.1.2.1.3.
Pratiques en cours sur Internet
En ltat de la lgislation, la difficult est dapprcier dans quelle mesure les dispositions
relatives la publicit et au dmarchage sappliquent aux pratiques actuelles de lInternet. En
effet, les moyens utiliss par les offreurs sur le rseau pour se faire connatre du public ou
pour lui formuler des offres diffrent de ceux connus dans les dcennies 1960 et 1970 et se
renouvellent constamment grce aux progrs de la technique.
Ils peuvent tre aujourdhui regroups selon les modalits suivantes:
a)
inscription, sur un site gnraliste (portail ou annuaire par exemple) du pays du client,
dimages et de messages publicitaires, gnralement associs un lien hypertexte
racheminant vers le site offreur (bandeau publicitaire). Cette pratique constitue
une forme de publicit et doit en consquence, ds lors quelle a pour objet de conseiller
ou doffrir des prts dargent ou de recueillir, sous forme de dpts ou autrement, des
fonds du public ou de proposer des placements de fonds, tre effectue en conformit
avec les obligations poses au point 2.1.2.1.1. La qualification de dmarchage doit en
revanche tre, selon nous, rejete. En effet, si elle peut tre habituelle, cette pratique ne
peut notre sens tre considre comme effectue au lieu de rsidence, au domicile ou
au lieu de travail du client, ni tre assimile un envoi de courrier ou de circulaire ou
une communication tlphonique. La question pourrait tre pose de savoir si le site
gnraliste hbergeant le bandeau publicitaire, dans le cas doprations sur prts dargent,
peut sapparenter un lieu ouvert au public et non rserv de telles [oprations].
Notre sentiment est quune telle interprtation serait exagre. En effet, le site gnraliste
reste avant tout un site commercial la recherche de la plus grande frquentationet son
usage est par ailleurs toujours initi par le client qui prend linitiative de sy connecter ;
b)
communication dinformations, de conseils ou doffres du prestataire sur des sites ou

des forums de discussion du pays du client. Comme dans le cas voqu prcdemment,
la qualification de dmarchage ne saurait selon nous tre ici retenu. En effet, mme si
les sites franais ne sont pas dans cette hypothse des sites gnralistes mais spcialiss,
ils ne peuvent tre compars au domicile, la rsidence, au lieu de travail du client ou
encore, le cas chant, un lieu public, ni tre assimils un envoi de courier ou encore
une communication tlphonique. Seul le cas dun forum de discussion est douteux et
45
c)
d)
pourrait ventuellement tre assimil un lieu ouvert au public. Lorsquils ont pour
objet de conseiller ou doffrir des prts dargent ou de recueillir, sous forme de dpts
ou autrement, des fonds du public ou de proposer des placements de fonds, ces actes
peuvent tre assimils de la publicit. Ils doivent dans ce cas tre effectus en conformit
avec les obligations poses au point 2.1.2.1.1.
envoi de messages (e-mails) par un offreur sur les messageries lectroniques de
particuliers, ventuellement cibls selon le profil commercial de linternaute. Qualifie
par les anglo-saxons de spamming, cette technique, qui peut par ailleurs poser des
problmes datteinte la vie prive doit tre selon nous considre comme un acte de
dmarchage. En effet, cest ici la bote aux lettres identifiant un individu quest adress
le message, de la mme faon quun courrier peut tre envoy une adresse postale ou
quune communication tlphonique peut tre passe au numro dun particulier. Lorsque
lobjet du message entre dans le champ du dmarchage sur prts dargent ou du
dmarchage financier conformment aux lois de 1966 et de 1972, loprateur ou son
intermdiaire doivent se mettre en conformit avec les dispositions de ces textes.
En revanche, comme il a dj t prcis, laccessibilit dun site par un portail ou un
moteur de recherche dun autre pays ne permet pas dans tous les cas de dterminer une
dmarche active du prestataire pour offrir ses services la clientle de ce pays. Cela est
possible la condition que loprateur ait fait la dmarche de rfrencement, mais il est
courant que lindexation par un moteur de recherche soit ralise sans le consentement,
ni mme linformation du promoteur du site. Selon ces cas, on pourra donc conclure
quil y a ou non en France sollicitation de la clientle. Ainsi, linscription dun signe
commercial (logo), ventuellement accompagne dun message (slogan) pourra tre
assimile une publicit. Comme dans les cas a) et b), la qualification de dmarchage
nous semble en revanche devoir tre exclue.
En consquence, le prestataire tranger, grant un site bancaire ou financier dans

son pays dtablissement, qui prsenterait des pages en franais mais qui ne ferait en aucune
manire des sollicitations rglementes en France (dmarchage ou publicit), ne serait donc
pas soumis lagrment des autorits franaises par le seul fait que des clients franais
peuvent sy connecter sur leur propre initiative et grce leur connaissance personnelle de
ladresse du site.
Si le service soumis au monopole bancaire ou financier de par la loi est donc, dans la
plupart des cas, excut au lieu dtablissement du fournisseur, les autorits franaises peuvent
toutefois, le cas chant, faire application de dispositions pnales pour empcher le prestataire
de mettre en uvre des pratiques rprhensibles en France comme le dmarchage (application
des lois de police). De mme, ces pratiques de sollicitation de la clientle peuvent entraner
lapplication de certaines rgles du droit du pays du client au contrat (voir 3.1.2).
46
2.1.3.
Lutilisation de faisceaux dindices pour dterminer si un

tablissement dun pays tiers lEEE doit tre agr pour offrir des
services bancaires et financiers en France ou pour exercer une
activit bancaire auprs de rsidents franais
Dans certains cas, le prestataire souhaitera rserver laccs son site la seule clientle
rsidente de son tat dimplantation. Ce sera normalement le cas lorsque son site ne permet
pas louverture dune relation en ligne et oblige le client tablir avec lui la primo-relation
en face--face, par exemple en agence, ce qui facilite ainsi lidentification de son cocontractant.
Ici, la prestation sur Internet sapparente un service mis la disposition des clients du
prestataire pour faciliter leurs dmarches auprs de lui (services minitel ou audiotel existant).
Les offres qui y sont faites sont clairement cibles sur la clientle rsidente. Laccs ce
service pourra mme faire lobjet dune scurisation par code daccs dlivr par ltablissement
aprs la conclusion du contrat. Une autre possibilit serait que ltablissement indique
clairement sur son site que ses prestations sont rserves aux seuls rsidents de son tat, voire
quil effectue de surcrot (en ligne ou par courrier) une vrification de la localisation du client
ou de son ordinateur. La localisation de lordinateur du client par vrification de son adresse
lectronique sur le rseau rencontre toutefois des limites techniques lies aux nombreuses
possibilits de dissimulation de celle-ci, voire sa contrefaon (technique dcran par lemploi
de machines esclaves, reroutages en boucle...).
linverse, si le prestataire ne cible pas de faon restrictive sa clientle rsidente,
il est permis de sinterroger sur son intention de proposer ses services des non-rsidents.
Cette analyse peut tre mene lorsquil existe des lments permettant de caractriser lintention
manifeste de ltablissement dagir activement de faon transfrontalire. cet gard, la situation
des prestataires tablis dans des pays tiers lEspace conomique europen doit trouver un
cadre danalyse spcifique, dans la mesure o lexercice distance de leur activit sur le
territoire dun tat membre ne peut tre couvert par un principe de reconnaissance mutuelle
des agrments comme celui qui structure le march unique europen.
2. Faisceau dindices pour lagrment dun prestataire originaire dun pays tiers
cette fin, nous proposons de retenir, comme pour la mise en vidence dune
situation de libre prestation de services en Europe (voir 2.1.1.2.3), la dfinition dun
faisceau dindices pour dterminer si une offre de services ou lexcution dactivits
bancaires destination de la clientle franaise ncessite lagrment du prestataire
originaire dun pays tiers. Ce faisceau dindices sera destin apprcier le
comportement actif ou passif de loffre ou de la fourniture de services.
A ce titre, il nous semble que lapprciation des offres et des excutions de
services bancaires ou financiers transfrontaliers devrait sinscrire, au niveau
international, dans un cadre clair. Il sagirait de distinguer les offres et les excutions
de services qui sadressent directement aux rsidents, en raison de limplantation
gographique de loffre (succursale, filiale, serveur le cas chant) ou du
comportement actif du prestataire auprs des rsidents, des services qui sont adresss
aux rsidents dun pays donn depuis un pays tiers sans quils ne soient orients
spcifiquement en direction des rsidents de ce pays donn.
47
Dans le premier cas, il sagira doffres ou dexcutions de services dans un pays.

Ltablissement doit tre agr par lautorit du pays daccueil. Sappliqueront alors les rgles
internationales de coopration entre pays daccueil et pays dorigine, poses par le Comit de
Ble (Concordat de 1983 et Minimum Standard de 1992). Dans le second cas, il sagit doffres
ou dexcutions de services adresses au pays sans que ses rsidents ne soient spcifiquement
cibls. Ces offres ou ces prestations de services peuvent revtir une grande varit de cas,
selon le comportement actif ou passif du prestataire. Ce caractre actif peut placer le prestataire
dans une situation trs proche dune offre ou dune excution dans un pays, lorsque ces
dernires sont trs cibles sur un pays o il na pas la capacit exercer son activit. Aussi estil important de fixer des critres pour vrifier si le prestataire nabuse pas de la situation tout
en ntant pas soumis la lgislation du pays cibl.
Cette analyse, qui propose la dfinition dun faisceau dindices, sinscrit dans la logique
des recommandations de lOrganisation internationale des commissions de valeurs (OICV).
Dans le rapport du Comit technique de lOICV, Internet et les services financiers, de
septembre 1998, des recommandations sont en effet formules quant au partage de comptences
entre autorits pour les activits financires transfrontalires ralises par le biais dInternet.
Le principe gnral est fond sur la notion dimpact significatif. Si loffre de produits ou
de services effectue sur Internet par un metteur ou un prestataire de services financiers a
lieu dans la juridiction du rgulateur ou si les activits ralises depuis ltranger par lmetteur
ou le prestataire de services financiers ont un impact significatif sur les investisseurs ou les
marchs situs dans la juridiction du rgulateur, ce dernier peut sestimer comptent et imposer
cet metteur ou ce prestataire le respect de ses rgles, dont ces rgles dagrment.
LOICV considre que les facteurs permettant un rgulateur de se considrer
comptentsont les suivants :
-
linformation diffuse est manifestement destine aux investisseurs de la juridiction du

rgulateur;
lmetteur ou le prestataire de services financiers concerns accepte des ordres en

provenance des investisseurs de la juridiction du rgulateur ou leur propose des services;
lmetteur ou le prestataire de services financiers concern utilise le courrier lectronique

ou dautres moyens de communication pour imposer les informations les concernant
aux investisseurs de la juridiction du rgulateur.
De mme, elle considre que les facteurs pouvant amener un rgulateur dcliner sa
comptencesont les suivants :
-
lmetteur ou le prestataire de services financiers dsigne clairement qui sadresse son

offre de produits ou de services financiers;
le site Internet contient la liste des juridictions dans lesquelles lmetteur ou le prestataire
de services financiers concern a t ou na pas t autoris proposer ses produits ou ses
services financiers;
48
lmetteur ou le prestataire de services financiers prend les prcautions ncessaires pour

viter doffrir ses produits ou ses services financiers aux investisseurs de la juridiction du
rgulateur.
Sur la base notamment de ces principes, certains rgulateurs ont prcis les conditions
qui devraient prsider au partage de comptence entre autorits. Ainsi la COB dans sa
recommandation n 99-02 relative la promotion ou la vente de produits de placement collectif
ou de services de gestion sous mandat via Internet prcise dans sa recommandation n1 le
public vis. Elle rappelle que la socit qui choisit douvrir un site Internet de promotion et/
ou de commercialisation de produits de placement collectif ou de services de gestion sous
mandat est tenue de veiller ce que son offre respecte les rgles en vigueur dans les territoires
viss. [] Afin que les rsidents des pays o il est possible de consulter le site ne soient pas
induits en erreur, la socit est invite prciser le champ gographique de son offre . Cette
recommandation rpond la position des autorits amricaines. La SEC dans sa
recommandation du 23 mars 1998, Use of Internet Web site to offer securities, solicit
securities transactions or advertise investment services offshore prvoit en effet des
procdures pour viter que les offres ne soient considres comme visant les rsidents
amricains. Le site web doit comporter un avertissement clair mettant en vidence que loffre
est dirige vers des pays tiers aux tats-Unis. Il doit galement mettre en place des procdures
permettant au prestataire de services dviter de fournir des services des personnes ayant des
adresses ou des numros de tlphone aux tats-Unis.
Cette analyse ne devrait pas cependant conduire priver un rsident dun pays donn
de la possibilit douvrir, par exemple, un compte en banque dans un tablissement dun pays
tiers, qui ne dispose pas dun agrment dans le pays du rsident. Ce rsident fait lui-mme la
dmarche douvrir ce compte ltranger, ltablissement ayant lgard des rsidents un
comportement passif. Aussi, il ne nous semble pas que cette analyse, et ce quelle implique en
termes de partage de responsabilits entre les autorits du pays dorigine et daccueil, soit
transposable en matire prudentielle.
2.2. La vrification de la capacit dexercice des oprateurs et la

licit des oprations effectues sur Internet
Face au dveloppement de la pratique doprations bancaires et financires sur Internet,
le CECEI doit veiller, dans lintrt des consommateurs franais et en tant quautorit en
charge du contrle des agrments au plan communautaire, ce que lexercice de telles activits
soit effectu sur la base dun agrment dlivr par lui, ou par une autorit comptente dun
autre tat partie laccord sur lEspace conomique europen o le prestataire serait implant.
Le Comit doit galement apprcier si des prestations nouvelles offertes sur le rseau nentrent
pas dans le champ de la dfinition lgale des oprations de banque et des services
dinvestissement. Les dveloppements qui suivent font un certain nombre de propositions
pour renforcer les moyens daction des autorits.
49
2.2.1.
Linformation de la clientle quant la capacit dexercice dun

prestataire
Compte tenu de la dpersonnalisation de la relation qui sinstaure sur Internet entre le

client et le prestataire, il est important que le premier dispose dune information fiable sur
lidentit du second. Il sagit l dune condition essentielle au renforcement de la confiance du
public et donc au dveloppement de lactivit sur Internet. Cest cette fonction dinformation
que remplit la liste des tablissements de crdit et des prestataires de services dinvestissement
agrs qutablit le CECEI en application des articles 15 alina 8 de la loi bancaire et 18 du
dcret n96-880 du 8octobre1996. Cette liste est arrte au 31 dcembre de chaque anne
pour parution au Journal officiel. Les modifications qui y sont apportes en cours danne
sont publies au Bulletin officiel du CECEI, dit avec le Bulletin de la Banque de France. La
liste annuelle et ses modifications trimestrielles sont consultables sur le site Internet de la
Banque de France (www.banque-france.fr/informations bancaires et financires/agrments
des tablissements de crdit et des prestataires de services dinvestissement par le CECEI).
Aujourdhui cependant, cette liste nindique pas les tablissements proposant une
prestation sur Internet. Seuls des annuaires ou des moteurs de recherche du rseau dlivrent
actuellement ce type dinformation mais celle-ci est destine prcisment orienter la clientle
vers ces sites, et non attester que leur offre est rgulire.
La Direction des tablissements de crdit et des entreprises dinvestissement de la
Banque de France, qui assure le secrtariat du CECEI, est frquemment interroge par le
public sur lexistence de tel ou tel site offrant des services bancaires et financiers. Ses moyens
de renseignement traditionnels sont ici rduits puisquelle ne dispose pas ce jour dune
information exhaustive des sites en fonctionnement. En effet, si lautorit est bien saisie dune
demande dautorisation par des entreprises qui souhaitent dmarrer une prestation par Internet,
la cration dun site web par un tablissement dj agr ne fait actuellement pas lobjet dune
demande dautorisation, ni mme dune simple dclaration auprs du Comit.
Il est important de complter linformation des autorits sur ce point, afin que celles-ci
puissent apprcier lvolution de lactivit des tablissements agrs en France et renseigner
le public sur la capacit juridique dexercer des offreurs.
En outre, compte tenu des risques inhrents lexercice de la prestation bancaire et
financire sur Internet, notamment quant la stabilit financire de ltablissement et la
matrise du systme dinformation, les autorits doivent pouvoir veiller laccomplissement
dun certain nombre de diligences lors de louverture dun site web bancaire ou financier
(voir la troisime partie matrise des risques). Lutilisation du canal Internet modifie en
effet largement les conditions de recherche de la clientle et peut modifier le programme
dactivit de lentreprise, en facilitant notamment llargissement de sa clientle.
Conformment larticle 15, alina 3, de la loi bancaire, le CECEI, qui doit apprcier
laptitude de lentreprise requrante raliser ses objectifs de dveloppement dans des
conditions compatibles avec le bon fonctionnement du systme bancaire et en assurant la
clientle une scurit satisfaisante, doit pouvoir apprcier si louverture dun site Internet
bancaire ou financier remplit ces conditions.
50
3. Proposition de dclaration auprs de lautorit dagrment de lintention dun

prestataire de raliser des oprations bancaires et financires sur Internet
Il est en consquence propos de considrer que la ralisation doprations
bancaires ou de services dinvestissement par Internet constitue un lment notable
du mode de fourniture des services, modifiant les conditions dexercice de lactivit
bancaire ou financire et rsultant dun choix stratgique de ltablissement; quen
consquence, lintention dun prestataire de raliser des oprations bancaires ou
des services dinvestissement par Internet devrait faire lobjet dune dclaration
auprs de lautorit dagrment. A loccasion dune telle dclaration, le CECEI
examinerait pour les tablissements dj constitus si louverture du nouveau canal
de distribution reste compatible avec les lments de bon fonctionnement de
ltablissement apprcis lors de son agrment. Le rglement n96-16 du Comit de
la rglementation bancaire et financire pourrait tre modifi en ce sens.
4. Cration dune base de recherche des activits sur Internet des tablissements de
crdit et des prestataires de services dinvestissement
Le CECEI, disposant alors de la connaissance de lensemble des tablissements
offrant des services en ligne, fera mention sur la liste des tablissements de crdit et
des prestataires de services dinvestissement de leur activit sur Internet. Ces
informations devraient tre aisment consultables par le public sur le site Internet
de la Banque de France-CECEI, ce qui amnerait faire voluer celui-ci de la simple
mise disposition actuelle de la liste annuelle et de ses modifications trimestrielles
une base de recherche.
Le site Internet de la Banque de France fera lobjet dune nouvelle maquette
donnant un accs plus facile aux informations de chaque autorit (Commission
bancaire et Comit des tablissements de crdit et des entreprises dinvestissement).
Il devrait galement comporter un message de prudence invitant les internautes
souhaitant contracter avec un tablissement bancaire ou financier sur le rseau
vrifier que celui-ci est rgulirement agr soit sur le site Banque de France soit
auprs du secrtariat du CECEI pour toute information complmentaire.
Cette proposition sinscrit dans la ligne de larticle 4 de la directive 2000/31 du Parlement
europen et du Conseil dite commerce lectronique. Cet article pose un large principe de
non-autorisation pralable lexercice de lactivit dun prestataire de service de la socit de
linformation (Les tats membres veillent ce que laccs lactivit dun prestataire de
services de la socit de linformation et lexercice de celle-ci ne puissent pas tre soumis un
rgime dautorisation pralable ou toute autre exigence ayant un quivalent). Ce texte ne
remet pas en cause lagrment requis pour lactivit bancaire ou financire elle-mme qui
reste exigible conformment lalina 2 de larticle prcit.
Larticle 5 de la directive 2000/31 prvoit par ailleurs que les tats membres doivent
obliger les prestataires sur Internet dvelopper les lments permettant leur identification
51
claire par le public. Un certain nombre dexigences dinformation sont mme prvues dans
le cas des professions rglementes telles que la banque et la finance: la mention sur le site
du titre professionnel et de ltat membre qui la octroy, la rfrence aux rgles
professionnelles de ltat membre dtablissement du prestataire de services sur Internet et
le moyen dy avoir accs.
Les autorits franaises sont galement sensibles la bonne information des clients
concernant la garantie accorde aux fonds ou aux titres grs par lintermdiaire dun
prestataire sur Internet. Cette position est conforme aux dispositions contenues dans la
proposition de directive relative la vente distance de services financiers en cours de
discussion devant le Conseil.
5. Identification du prestataire et renvoi par lien hypertexte au site de la Banque de
France-CECEI
Conformment aux directives en cours dexamen, il est propos de rendre
obligatoire laffichage, sur la page daccueil dun site bancaire ou financier dun
prestataire agr en France ou sur une page daccs facile, direct et permanent,
dun certain nombre de mentions de faon lidentifier clairement et renseigner la
clientle sur sa capacit dexercer:
nom du prestataire;
adresses de son sige social et de son lieu dtablissement;
association professionnelle laquelle il adhre conformment larticle 23 de la

loi bancaire ou larticle 24-I de la loi de modernisation des activits financires;
mention de lagrment dlivr par le CECEI, des services quil recouvre et renvoi
par lien hypertexte (dans des conditions de scurit adquates) au site de la
Banque de France-CECEI pour permettre au client de consulter la liste des
prestataires agrs. Ce renvoi pourrait tre matrialis par laffichage dun sigle
CECEI;
mention de ladhsion un mcanisme de garantie des dposants ou des

investisseurs.
2.2.2.
Apprciation par les autorits du caractre bancaire ou financier de

certaines oprations
Le commerce lectronique peut favoriser lmergence de nouvelles activits

dintermdiation financire susceptibles dentrer dans le primtre des oprations bancaires
et financires telles quelles sont aujourdhui dfinies par le lgislateur.
Il appartient aux autorits de veiller au respect du monopole dexercice des oprations
bancaires et financires en caractrisant ces pratiques nouvelles.
52
2.2.2.1.
Le cas des portails et des sites agrgateurs
De nouveaux oprateurs spcialiss dans la fonction de distribution de services bancaires

et financiers tendent remettre en cause la fonction bancaire. Dune part, portails et sites
agrgateurs risquent de rduire les tablissements une simple fonction de production et de
gestion du risque. Dautre part, ils les mettent directement en comptition.
2.2.2.1.1.
Les agrgateurs de donnes (screen scrapers)
Ces oprateurs, qui se dveloppent aux tats-Unis, consolident sur une mme page
web les donnes financires dun client, trouves auprs des banques et gestionnaires de
comptes auxquels le client leur donne accs. Lintrt du particulier est ainsi dobtenir sur une
mme page, une concentration dinformation sur ses comptes personnels recueillie auprs de
plusieurs autres sites. Ce service peut tre complt de diverses facilits de-mails, de paiements
lectroniques ou de rservations. Pour le bon fonctionnement dun tel service, les tablissements
gestionnaires des comptes doivent donner leur accord, ce qui facilite la rcupration des zones
dcran concernes.
Les prestataires bancaires et financiers risquent ainsi cependant de favoriser la
dispersion des oprations de leur clientle et dy perdre une part de la connaissance quils
ont de leurs clients.
Le dveloppement dune telle activit prsente ainsi des risques quant la scurit des
sites agrgateurs, la confidentialit des informations personnelles transmises entre le teneur
de comptes et lagrgateur (mots de passe, numros de comptes, etc.), mais aussi quant la
responsabilit de ces sites dans les services qui sont proposs.
Certains dentre eux tendent en effet voluer de faon proposer au-del du service
de base de rcupration de donnes, une vritable gamme de services de conseil ou de paiement
distance. Conformment larticle 1er de loi bancaire, de tels oprateurs sont susceptibles
dtre soumis agrment en France dans la mesure o les oprations de banque comprennent
la mise disposition de la clientle ou la gestion de moyens de paiement. Les autorits bancaires
veilleront, en particulier, ce que les tablissements, par lintroduction de clauses contractuelles
entre ces derniers et les agrgateurs de donnes, ne perdent pas la connaissance de leurs clients,
exigence au titre du contrle interne et de la lutte contre le blanchiment.
2.2.2.1.2.
Les portails
Le dveloppement des portails, portes daccs au rseau offrant une gamme de services
varis, pourra terme reprsenter un point de passage plus ou moins oblig pour les
tablissements de crdit et les entreprises dinvestissement. En effet, Internet modifie
principalement les conditions dtablissement de la relation avec la clientle. La force
conomique des portails tient leur notorit et la concentration de services quils
fournissent. En matire bancaire ou financire aussi, leur notorit sur la toile peut
devenir suprieure celle des tablissements et fdrer une audience telle quil deviendra
conomiquement obligatoire aux prestataires de services financiers dy tre prsents. Ds
53
lors, les tablissements devront construire leur stratgie de fourniture de service en choisissant
une offre en propre ou intgre un portail.
Aujourdhui, le plus souvent encore locataires despaces publicitaires sur les portails
existant, certaines banques, craignant dtre rduites au rle de sous-traitant financier banalis,
cherchent chapper aux socits qui dveloppent ces sites en construisant leur propre systme.
En rgle gnrale, sils ne font que mettre en relation les clients et les prestataires en
vue de la conclusion doprations bancaires sans se porter ducroire, les portails sont des
intermdiaires en oprations de banque, tels que dfinis par les articles 65 et suivants de la loi
bancaire. En tant que tels, ils ne seraient pas soumis agrment. Cependant, certains sites
portails sont susceptibles deffectuer titre de profession habituelle des oprations de
banque et doivent ds lors disposer dun agrment dtablissement de crdit.
2.2.2.2.
Monnaie prive
Les autorits ont dj pu constater lexistence de sites proposant lusage de monnaie

prive, parfois associe des mcanismes de fidlisation de la clientle. Elles ont t interroges
galement sur la pratique du troc de biens et de services divers. Ces oprations entrant dans le
champ des activits de mise la disposition du public et de gestion de moyens de paiement,
elles ne peuvent tre lgalement exerces que par des tablissements de crdit.
Ainsi, mme sil est destin fidliser la clientle, un point dlivr par une entreprise
sapparente clairement un titre de crance, sil est admis en paiement par une universalit de
commerants pour le rglement dachats auprs deux dun ensemble de biens ou de services
varis. Il doit ds lors tre considr comme un moyen de paiement au sens de larticle 4 de la
loi bancaire du 24 janvier 1984.
Les systmes de fidlisation ne peuvent tre mis en uvre, en France, par des entreprises
non agres en qualit dtablissement de crdit, qu la condition de respecter les conditions
poses par larticle 12.5 de la loi bancaire, qui permet une entreprise, quelle que soit sa
nature, dmettre des bons et cartes dlivrs pour lachat auprs delle dun bien ou dun
service dtermin. Dans un tel systme, dit monoprestataire, lmetteur du titre est en
effet le seul laccepter en paiement pour les achats effectus auprs de lui.
2.2.2.3.
Le mode de paiement dit du kiosque
De mme, le mode de paiement dit du kiosque, apparu sur le minitel et repris

maintenant par les fournisseurs daccs Internet, soulve certains problmes. Dans ce
mcanisme, le paiement de loffreur de service nest pas effectu directement par
linternaute. Cest loprateur de tlcommunication, qui inclura, dans la facturation de
la communication au client, le montant du paiement destin au prestataire du service et le
lui reversera. Les autorits bancaires se sont montres pour linstant rserves sur la
question de la lgalit de cette pratique.
54
2.2.3.
La sanction de lexercice illgal du mtier de banquier
Le dveloppement des services financiers accessibles par Internet est si rapide quil est
impossible de connatre prcisment lensemble des sites existants. Il en rsulte quInternet
pourrait faciliter lexercice dactivits financires en dehors de tout cadre lgal. Outre le risque
de contrefaon de sites de prestataires reconnus, il est ainsi possible que des entits ouvrent
des sites Internet pour proposer des services bancaires ou dinvestissement en laissant entendre
quils sont rgulirement agrs. Si des oprations bancaires sont effectivement ralises sur
le territoire franais, ces personnes sexposent alors aux sanctions pnales prvues par les
articles 75 et suivants de la loi bancaire ou 82 et suivants de la loi de modernisation des
activits financires. En application de larticle 85 de la loi bancaire, la Commission bancaire
peut se constituer partie civile tous les stades de la procdure pour les infractions la loi
bancaire. En outre, lorsquelle a connaissance de faits susceptibles de revtir une qualification
pnale, elle transmet ces derniers au Procureur.
Des rflexions sont en cours au niveau international pour organiser la coopration
entre autorits afin de lutter contre lexercice illgal du mtier de banquier. Linformation
entre pays dorigine et pays daccueil (de fait) sera renforce selon des modalits qui restent
prciser.
55
3. Le cadre dexercice de lactivit bancaire ou financire

sur Internet
Compte tenu de la grande facilit de lutilisation transfrontalire du rseau, il sera
possible un prestataire dentrer en relation daffaires avec des clientles de diffrents pays
sans forcment y raliser des oprations bancaires ou financires soumises agrment. Cette
question nest bien videmment pas nouvelle mais prend une autre ampleur avec Internet
compte tenu des facults de dplacement de linternaute.
En consquence, dans une telle relation transfrontalire, la scurit juridique des offreurs
et des clients ne se rduit pas au seul contrle des agrments. Elle est lie au bon quilibre des
rgles poses par le droit international priv pour dterminer le juge comptent et le droit
applicable un litige comportant un lment dextranit.
Aussi, lexamen des conditions daccs lactivit bancaire et financire sur Internet
ne peut faire lconomie dune analyse supplmentaire concernant le droit applicable lexercice
de ladite activit. Cet examen est indispensable:
-
pour le prestataire, qui doit connatre et encadrer juridiquement lexercice de son service
pour matriser le risque affrent une relation transfrontalire;
pour les autorits, tant dagrment que prudentielles, tenues de prendre en compte le risque
ainsi cr pour les prestataires, et ventuellement de contrler lapplication des mesures
impratives affrentes son activit ;
pour le consommateur qui, en contractant ltranger, peut se trouver priv des protections
prvues dans son propre systme juridique.
Il ne peut sagir ici de prsenter une analyse exhaustive des rgles de droit international
priv dont lapplication relve des tribunaux. Il est en revanche ncessaire de dterminer
lusage de lensemble des acteurs, dune part, une typologie gnrale des situations examiner,
et, dautre part, dans le cadre de cette typologie, une grille danalyse des situations concourant
la rsolution de chaque cas particulier.
3.1 Essai dune typologie des relations prestataire/client

Pour les oprations effectues dans un mme tat entre des oprateurs qui y rsident,
le cadre juridique applicable au contrat pourra tre aisment dtermin en rfrence au droit
de cet tat. En revanche, il est plus difficile dapprcier lenvironnement juridique dun contrat
conclu entre des parties localises dans des tats diffrents la fois quant au droit applicable
et quant au rglement du litige y affrent. Il est donc important de diffrencier les types de
relations contractuelles possibles selon la localisation des parties en examinant les principes
de rglement des conflits de lois en la matire. Les dveloppements qui suivent ne portent
cependant que sur les cas mettant en jeu au moins un cocontractant franais.
56
La dtermination du droit applicable un contrat est ncessaire ds lors quun litige

surgit entre les cocontractants et que lobligation comprend un lment dextranit.
La dtermination du droit applicable seffectue toujours en deux tapes:
-
la dtermination du juge comptent;
la qualification par le juge saisi du conflit de lopration litigieuse puis lapplication des
rgles de conflit de loi telles quelles sont inscrites dans son droit national. En un certain
nombre de matires, les tats auront pu harmoniser leurs rgles au sein de conventions
constituant le droit international priv. Ces rgles de rsolution des conflits de lois permettent
darbitrer en faveur de lapplication du droit dun tat ou dun autre en fonction des
caractristiques de la relation contractuelle. Elles supposent de pouvoir dterminer la
localisation du prestataire, du client, ainsi que de la prestation.
cet gard, en matire bancaire et financire, si cest un tribunal franais ou plus

gnralement un tribunal dun tat membre de lUnion europenne qui est comptent, il
appliquera les rgles de conflit prvues dans la Convention de Rome du 19 juin 1980 sur la loi
applicable aux obligations contractuelles. Cette dernire consacre la loi dautonomie, cest-dire la facult pour les parties de dsigner la loi applicable au contrat. Si cest un tribunal dun
tat qui nest pas membre de lUnion europenne qui est saisi du litige, ce dernier appliquera
la rgle de conflit du for (cest--dire du tribunal saisi).
Ainsi, un Franais, client ou prestataire, qui noue une relation daffaire sur Internet
pourra se trouver dans trois cas possibles selon la localisation gographique de son cocontractant
ou de la prestation dlivre.
Pour dterminer la loi applicable aux contrats conclus sur Internet, il faut donc distinguer
le contrat conclu entre deux cocontractants situs en France (3.1.1), celui conclu entre deux
ressortissants de lUnion europenne (3.1.2) et celui pass avec un cocontractant situ
lextrieur de lUnion europenne (3.1.3).
3.1.1.
Contrat conclu entre un client ayant sa rsidence en France et un

prestataire de droit franais
En principe, le juge franais sera comptent et appliquera le droit franais. En effet, le

principe de lautonomie de la volont qui laisse le choix aux contractants de dterminer le
droit applicable leur contrat est cart en labsence de tout lment dextranit.
Toutefois, la prestation peut tre soumise un droit tranger, raison dun lment
dextranit, quil sagisse de sa nature (par exemple ngociation sur un march rglement
tranger, qui entrane lapplication du droit applicable ce march pour la ralisation de
lopration), ou quil sagisse dun choix des parties.
On doit ds lors sinterroger sur la possibilit pour le juge franais dimposer malgr
tout lapplication de certains principes de droit franais. Le code civil intgre cet effet des
57
rgles de conflit de lois issues du droit international priv, qui permettent de dterminer
dans quelles conditions des dispositions du droit franais simposent un contrat soumis
un autre droit.
Ceci va notamment concerner les rgles dites dordre public et de police, au nombre
desquelles on trouvera sans aucun doute les rgles applicables en matire de protection du
consommateur. Ainsi, conformment au code civil, mme si le contrat prvoit lapplication
dun droit tranger, le juge franais peut carter des textes contraires aux dispositions
impratives de protection du consommateur franais.
A ce titre, il convient de souligner que, devant labsence dune dfinition de la notion
de consommateur, tant le Code de la consommation que la jurisprudence franaise se
concentrent sur une dfinition plutt troite (le particulier-client), qui diffre de la conception
usite en droit communautaire (conception large de la notion de consommateur qui inclut les
professionnels qui agissent en dehors de leurs spcialits).
En outre, force est de constater quil ny a pas un droit de la consommation spcifique
aux oprations bancaires et financires, les diffrentes rgles qui existent sont en partie
runies dans le Code de la consommation, et dans les rglements du Comit de la
rglementation bancaire, alors que dautres sont purement jurisprudentielles. Cependant, la
disparit des sources nenlve en rien lhomognit des objectifs poursuivis par les
diffrentes rgles: information du consommateur, encadrement de loffre, octroi de dlais,
lutte contre les taux abusifs. Particulirement importantes pour le commerce lectronique,
on recense les dispositions suivantes:
-
la loi de 1966 relative lusure;
la loi n 78-23 du 10 janvier 1978 sur la protection et linformation des consommateurs de

produits et de services et son dcret dapplication n 78-464 du 24 mars 1978;
la loi n 92-60 du 18 janvier 1992 renforant la protection des consommateurs;
la loi n 72-1137 relative la protection des consommateurs en matire de dmarchage et

de vente domicile;
la loi n 78-22 relative linformation et la protection des consommateurs dans le domaine

de certaines oprations de crdit et ses dcrets dapplication du 17 mars 1978 et du 25
mars 1988;
la loi n 89-1010 relative linformation et la protection des consommateurs ainsi qu

diverses pratiques commerciales.
Ces textes de rfrence concernant la protection et linformation des consommateurs

de produits et services ont t runis dans un code de la consommation promulgu par une loi
du 27 juillet 1993.
58
3.1.2.
Contrat conclu entre deux ressortissants de lUnion europenne
En raison dune certaine harmonisation des rgles de conflit, peu importe pour la
dtermination du droit applicable que ce soit le client ou le prestataire qui soit situ hors de
France et lintrieur de lUnion.
La dtermination du juge comptent sera effectue selon les principes poss par la
Convention de Bruxelles de 1968 concernant la comptence judiciaire et lexcution
des dcisions en matire civile et commerciale. Sa section 4, comptence en matire
de contrats conclus par les consommateurs, indique que le consommateur peut, sa
convenance, attraire lautre partie soit devant le tribunal de son propre domicile, soit
devant celui du domicile du dfendeur.
En ce qui concerne le droit applicable pour les tablissements de crdit qui relvent de
pays de lUnion europenne, les deux directives de coordination bancaire du 12 dcembre
1977 et 15dcembre 1989 ont pos le principe que tout tablissement de crdit agr dans
lun quelconque des autres tats membres pourra y exercer ses activits dans tous les autres
soit par voie dtablissement (succursale), soit par voie de libert de prestation de service et
ce, normalement, dans le respect des seules rgles dorigine. Cependant, le droit applicable
aux relations contractuelles entre un client ressortissant europen et un tablissement qui
exercera en libre prestation de services ou par voie dtablissement sera dtermin par les
rgles de conflits prvues par les Conventions internationales.
Concernant loffre de service et des produits bancaires et financiers sur Internet, et
sauf lorsquil existe des rgles du droit communautaire ventuellement applicables dans des
cas particuliers, il faut se rfrer aux rgles de conflits poses par la Convention de Rome du
19 juin 1980 sur la loi applicable aux obligations contractuelles.
La Convention de Rome prvoit lapplication de la loi du pays avec lequel le contrat
prsente les liens les plus troits (loi du pays o la partie fournit la prestation caractristique,
ou a sa rsidence habituelle ou son tablissement) dfaut de choix exprs de la loi du contrat.
Sera donc privilgie la loi du lieu dexcution de la prestation, le plus souvent confondue
avec la loi du lieu dtablissement du prestataire.
Toutefois, le prestataire, qui semble ainsi en tout tat de cause matriser le choix de
la loi applicable, quil linsre expressment dans ses conditions gnrales, ou quil laisse
sappliquer les rgles de droit international priv, doit tenir compte du fait que des rgles
exognes peuvent venir infrer:
-
via les rgles dintrt gnral applicables dans le cadre de la libre prestation de services
(voir la communication interprtative de la Commission europenne de juillet 1997);
par le biais de larticle 5 de la Convention de Rome du 19 juin 1980 qui prvoit que le
choix de la loi par les parties ne doit pas avoir pour consquence de priver le consommateur
de la protection que lui assurent les dispositions impratives de la loi du pays de sa rsidence
habituelle;
59
par le truchement de larticle 7 de la Convention qui reprend le principe selon lequel le

juge peut ne pas tenir compte de la loi du contrat pour appliquer une loi de police. Celleci devra sappliquer mme si la rgle de conflit ne la pas dsigne. Cest le cas notamment
en France de la loi du 28 dcembre 1966 relative lusure, la loi du 10 janvier 1978
relative la protection des emprunteurs en matire de crdit mobilier ainsi que la loi du 13
juillet 1979 relative la protection des emprunteurs en matire de crdit immobilier ou
plus gnralement les lois franaises relatives aux oprations de crdit la consommation,
dites lois Scrivener; de mme que les dispositions qualifies dintrt gnral. Il ne sagit
pas ici de la notion communautaire susvise, mais dune notion classique de droit
international priv qui impose un ordre public contractuel auquel les parties ne sauraient
droger, quelle que soit la loi sous lempire de laquelle elles souhaiteraient placer le contrat.
En revanche, dautres dispositions de protection du consommateur, telles que lobligation
dinformation de la caution, ne doivent pas tre considres comme des lois de police
applicables des eurocrdits. On rappellera toutefois que le client ne peut prtendre la
protection relative aux lois de police ds lors quil a contract la suite dune dmarche
active de sa part dans un autre Etat que celui de sa rsidence principale.
3.1.3.
Un des cocontractants est extrieur lUnion Europenne
Cest la rgle de conflit du juge saisi du litige qui dsignera le droit applicable. Pour ce
qui concerne la dtermination du juge comptent, il convient de rappeler que larticle 14 du
Code civil franais permet toujours dans ce cas au plaignant rsident franais, quil soit
prestataire ou client, de saisir un juge franais dune action en responsabilit contractuelle. En
raison des difficults faire excuter un jugement ltranger, cette procdure pourra tre
trs alatoire, surtout si le juge franais se voit conduit appliquer un droit tranger.
En revanche, il convient dappeler lattention du prestataire franais sur lapplication
qui pourrait lui tre faite de larticle 15 du Code civil, qui permet un client, mme ayant
contract ltranger, dattraire ledit prestataire devant un tribunal franais, dont les dcisions
pourront bien entendu faire lobjet de voies dexcution en France.
Nonobstant les dispositions susvises du Code civil, si le juge comptent est le juge
du ressortissant ayant sa rsidence lextrieur de lUnion europenne, il appliquera sa
propre rgle de conflit. Cette dernire peut dsigner soit la loi du for, soit la loi dsigne par
le contrat, soit une loi de police considre comme telle par le juge. Bien que chaque tat ait
ses rgles de conflit propres, la tendance dominante est gnralement de privilgier la loi de
lexcution du contrat donc la loi du prestataire.
En revanche, si cest le juge franais qui est saisi dun litige opposant un ressortissant
franais un prestataire tranger lUnion europenne, il se rfrera aux rgles de conflits de
la Convention de Rome pour dterminer le droit applicable.
Les professionnels comme les consommateurs sexposent dans ce type de relation
contractuelle se voir opposer des rgles moins protectrices que celles prvues dans
lUnion europenne. Ils doivent tre vigilants et sinformer sur le systme juridique de
ltat de leurs cocontractants.
60
3.2. Le droit de la preuve

Il semble tout fait opportun de rappeler aux prestataires la ncessit de matriser le
droit applicable en matire de preuve.
Par-del la question juridique, il doit tre galement soulign que, dans tous les cas, la
preuve vise la scurit de la transaction et sinscrit dans le cadre des principes gnraux de
scurit DICP (Disponibilit, Intgrit, Confidentialit et Preuve) sur lesquels a insist le
Livre blanc de 1996 de la Commission bancaire sur la scurit des systmes dinformation. Il
est recommand ce titre dadopter des techniques permettant la non-rpudiation pour les
transactions juges sensibles par ltablissement de crdit ou le prestataire de services
dinvestissement. Les points 5.3 (Intgrit, authentification, non rpudiation et confidentialit
des transactions), de la deuxime partie analyse des risques et 8.3.3. de la troisime partie
relative la matrise de risques (exemples de mise en place dinfrastructures de scurit)
traitent plus particulirement de cette question.
Les questions relatives la preuve sur lInternet recouvrent deux types de
problmatiques, lune relative aux aspects techniques de la question (gnration de signature
numrique, utilisation de moyens de cryptographie, techniques de conservation des documents
lectroniques), lautre aux questions juridiques. Si ces dernires vont constituer la substance
des quelques rappels auxquels se limite cette premire approche, il convient de noter que leur
champ daction est de facto cantonn la reconnaissance ou non deffets de droit aux techniques
mises en uvre, ces dernires conditionnant lefficacit de la rgle de droit qui est cense les
encadrer. Par ailleurs, si elles trouvent une acuit particulire en matire dInternet, ces questions
concernent les messages numriques en gnral.
Comme le souligne le Conseil dtat prouver, au sens courant du terme, est ce qui
sert tablir quune chose est vraie. Il nen va pas autrement en matire juridique, cette
prcision prs que cest le juge quil sagit de convaincre de la vrit dune allgation: la
preuve juridique est une preuve judiciaire. Dans ce but, la preuve doit permettre la
vrification de deux lments:
-
dune part, de lidentification des parties concernes, et de faon concomitante, la qualit

de leur consentement (avec parfois limposition dun formalisme non seulement ad
probationem, mais galement ad validitatem);
dautre part, sur le contenu de leur engagement qui doit pouvoir tre connu et accept un
instant donn par lensemble des acteurs ( ce stade, aucune distinction nest faite entre
acte et fait juridique, engagements unilatraux ou synallagmatiques).
Ds lors, une bonne connaissance non seulement du juge comptent mais galement
du systme de preuve quil est susceptible daccepter est essentiel.
Jusqu prsent, pour les oprations conclues en matire civile et suprieures un
certain montant (5000 FF), lacceptation de la preuve lectronique ncessitait la dfinition
dun cadre contractuel entre les acteurs concerns (convention de preuve), sans que ceux-ci
aient labsolue certitude que les moyens mis en uvre soient reus par le juge. Dsormais la
61
directive signature lectronique et ses textes de transposition clarifient cette situation en

accordant un statut juridique dfini ce mode de preuve. Le point se limite aux rgles de
preuve (formalisme ad probationem) des contrats et formule en la matire des recommandations
de bonne pratique.
Par del lutilisation ad probationem de la signature lectronique, la transposition
de la directive commerce lectronique consacrera la possibilit juridique de conclure par
voie lectronique des transactions pour lesquelles un crit-papier obissant un certain
formalisme est ncessaire, et constitue au-del dun moyen de preuve- la condition mme de
la validit de lacte en question. Le formalisme est alors ad validitatem.
3.2.1.
La reconnaissance de lcrit lectronique comme formalisme ad

probationem
Sont prsentes ci-dessous la directive signature lectronique, la loi du 13 mars 2000

ainsi que les grandes lignes du dcret signature lectronique, sachant que des textes
importants nont pas encore t adopts: transposition des dispositions de la directive
signature lectronique concernant la responsabilit des prestataires de services de
certification (PSC), dcrets et arrts relatifs la signature lectronique.
3.2.1.1.
La directive signature lectronique
La directive signature lectronique pose le principe de la non discrimination et de

lquivalence, sous certaines conditions, de la signature lectronique4 avec la signature
manuscrite. Une signature lectronique ne peut tre carte juridiquement pour la seule raison
de sa forme lectronique.
La directive permet la reconnaissance juridique dune signature lectronique deux
niveaux: elle confre la signature lectronique, sous certaines conditions, une force probante
quivalente celle de la signature manuscrite (article 5.1) ; elle affirme ensuite le principe de
non discrimination (article 5.2) de la signature lectronique par rapport la signature
manuscrite. Ces conditions visent la fois:
-
les signatures elles-mmes (notion de signature lectronique avance5 ) ;
les certificats de cls publiques (notion de certificats qualifis) ;
les prestataires de services de certification (PSC)6 ;
et les dispositifs de cration de signature.
Si le certificat et le fournisseur de services, de mme que la signature utilise, satisfont

un ensemble de spcifications, la signature sera rpute de mme valeur quune signature
4) La signature lectronique est un terme gnrique, qui se veut neutre technologiquement. Dans ltat actuel de la technique, il
renvoie aux techniques de la cryptographie asymtrique.
5) Permettant didentifier de faon univoque le signataire, de dtecter une perte dintgrit au niveau des donnes auxquelles elle
sattache, et enfin cre par des moyens que le signataire puisse garder sous son contrle exclusif.
62
manuscrite. Ces spcifications sont reprises dans les annexes I (exigences concernant les
certificats qualifis) et II (exigences concernant des prestataires de services de certification7
dlivrant des certificats qualifis) de la directive. Lannexe III, quant elle, traite des dispositifs
de cration de signature.
La directive dfinit deux niveaux de signature: la signature simple et la signature
avance. La signature simple nest pas dnue defficacit juridique mais elle ne bnficie
pas de la prsomption de fiabilit contrairement la signature avance. La preuve de cette
fiabilit doit tre apporte devant le juge en cas de litige.
Exigences gnrales de la directive signature lectronique
D
I
R
E
C
T
I
V
E
Certificats
qualifis
(Annexe I)
PSC
dlivrant des
certificats
qualifis
(Annexe II)
Signature
Secteur
priv
Dispositifs
scuriss de
cration de
signature
(Annexe III)
lectronique
E
E
S
S
I
Standard visant
les
PSC
Recevabilit
comme preuve
en justice au
mme titre
que la
signature
manuscrite
Standard
visant les dispositifs
scuriss de cration de
signature
Les travaux de normalisation sont engags au niveau europen -European Electronic

Signature Standardisation Initiative (EESSI)- et au niveau national au sein de la Direction
centrale de la scurit des systmes dinformation (DCSSI) et dun groupe dexperts du monde
industriel runis autour du Secrtariat dEtat lIndustrie (groupe GFTA).
Trois organismes de normalisation europens comptents en matire de technologies
de linformation -le Comit Europen de Normalisation (CEN), sa dclinaison dans le domaine
de llectronique (CENELEC) et dans les tlcommunications (ETSI)- ont fond lInformation
and Communication Technology Steering Board (ICTSB), une structure de coordination
spcifique aux technologies de linformation et de la communication, laquelle participe
notamment le Comit europen de normalisation bancaire (CENB).
6) Parmi lesquels les autorits de certification et leurs sous-traitants: autorits denregistrement, dhorodatage, de rvocation, oprateurs
de certification, etc.
7) Les diffrents mtiers de la certification: autorit de certification, autorit denregistrement et oprateur de certification sont exposs
en annexe.
63
LICTSB a t mandat par la Commission Europenne ainsi que par les tats Membres
travers leur groupe dexperts en scurit des systmes dinformation (SOGITS), pour faire
linventaire des travaux de normalisation raliser pour acclrer le dveloppement des solutions
de signature lectronique (EESSI phase 1), et pour organiser les tches de normalisation juges
prioritaires (EESSI phase 2). Cette initiative sarticule autour de trois axes:
-
la DCSSI travaille actuellement dans plusieurs directions avec les industriels en vue
dalimenter les rflexions europennes;
lvolution des politiques de certification actuelles destines aux PSC mettant des
certificats pour le compte des administrations (dites PC2), pour tenir compte du retour
dexprience obtenu dans le secteur de la sant et des tldclarations;
la rdaction dexigences scuritaires (par exemple sous forme de profils de protection,

visant les systmes des oprateurs de certification et des autorits denregistrement,
ainsi que leurs ressources cryptographiques.
3.2.1.2.
La loi du 13 mars 2000
3.2.1.2.1.
Dfinition lgale de la prsomption de fiabilit des signatures lectroniques
La loi du 13 mars 2000, portant adaptation du droit de la preuve aux technologies de

linformation et relative la signature lectronique, reconnat lcrit lectronique comme mode
de preuve, sous rserve que lon puisse identifier la personne dont elle mane, et prcise ce
titre que lorsquelle est lectronique, [la signature] consiste en lusage dun procd fiable
didentification garantissant son lien avec lacte auquel elle sattache. La fiabilit de ce
procd est prsume, jusqu preuve contraire, lorsque la signature lectronique est cre,
lidentit du signataire assure et lintgrit de lacte garantie, dans des conditions fixes
par dcret en Conseil dtat .
Ces conditions portent notamment sur les prestataires de services de certification exigences
de lannexe II de la directive- qui devront pouvoir dmontrer leur conformit ces conditions.
3.2.1.2.2.
Les conventions de preuve
La loi du 13 mars 2000 consacre la possibilit pour deux parties de conclure des
conventions sur la preuve. Larticle 1316-2 du code civil dispose ce titre que [l]orsque la
loi na pas fix dautres principes, et dfaut de convention valable entre les parties, le juge
rgle les conflits de preuve littrale en dterminant par tous les moyens le titre le plus
vraisemblable, quel quen soit le support .
En vertu de larticle 1316-1, une convention de preuve nest plus indispensable pour
que la preuve lectronique soit recevable en matire civile.
Les conventions de preuve demeurent cependant utiles:
-
64
pour rgler les conflits de preuve (article 1316-2), notamment pour permettre aux parties
de marquer leur prfrence pour un mode de preuve particulier ;

-
pour que soient recevables des procds de preuve ne bnficiant pas de la prsomption de
fiabilit de larticle 1316-4.
Il faut noter que les conventions de preuve peuvent parfois aboutir la constitution
unilatrale de la preuve par le professionnel exploitant le systme informatique:
-
mettant en situation dinfriorit le client qui nest pas toujours mme de vrifier
lengagement quil a pris lorsque le systme ne dlivre pas de trace ;
transfrant sur le client les risques ns des ventuelles faiblesses existant dans la scurit
du systme informatique.
La loi n95-96 du 1er fvrier 1995 concernant les clauses abusives et la prsentation
des contrats prend en compte ce problme en dfinissant les clauses abusives comme des
clauses qui ont pour objet ou pour effet de crer au dtriment du non-professionnel ou du
consommateur, un dsquilibre significatif entre les droits et les obligations des parties au
contrat. La sanction civile pour de telles clauses est alors la nullit. En annexe cette loi
figure une liste indicative de ces clauses. Sont notamment vises celles qui ont pour effet de
supprimer ou dentraver lexercice dactions en justice ou des voies de recours par le
consommateur, notamment en limitant indment les moyens de preuve la disposition du
consommateur ou en imposant celui-ci une charge de preuve qui, en vertu du droit applicable,
devrait normalement revenir une autre partie au contrat.
3.2.1.2.3.
Le projet de dcret dapplication transposant la directive signature lectronique
Le dcret fixe les conditions dans lesquelles la fiabilit dun procd de signature
lectronique est prsume (jusqu preuve contraire). Il revient ainsi celui qui conteste la
validit dune signature ralise selon un procd respectant les conditions fixes dans le
dcret de faire la preuve de son manque de fiabilit. Inversement, une signature lectronique
est recevable ds lors quelle est ralise suivant un procd fiable didentification garantissant
son lien avec lacte auquel elle sattache. Il revient celui qui revendique des droits dcoulant
de cet acte de le dmontrer lorsque le procd de signature utilis ne remplit pas les conditions
fixes par le dcret (il ny a pas de prsomption favorable dans ce cas).
La fiabilit dun procd sera prsume lorsque deux conditions sont remplies:
-
ce procd met en uvre un dispositif de cration de signature lectronique qui rpond

aux critres dfinis larticle 3 du dcret. Cet article sinspire des conditions fixes aux
signatures lectroniques avances dans la directive, ainsi quaux dispositifs scuriss de
cration de signature, viss lAnnexe III de la directive;
ce procd utilise un certificat lectronique rpondant aux critres dfinis larticle 6,

qui reprend les conditions figurant aux Annexes I et II de la directive visant respectivement
les certificats et les prestataires qui les fournissent.
65
Daprs la directive signature lectronique, ni autorisation ni accrditation obligatoire

ne peut intervenir pralablement lactivit de prestataire de services de certification. Seuls
sont possibles des contrles a posteriori. En revanche, les Etats membres peuvent mettre en
place un schma daccrditation volontaire, visant lever le niveau de service.
Afin de faciliter le choix des utilisateurs et les travaux des tribunaux, la dfinition de
critres et de pratiques de labellisation des prestataires de services de certification, impartiaux
et objectifs, harmoniss au niveau international et permettant de qualifier a priori les niveaux
de services offerts, sest avre ncessaire. Dans ce cadre sera mis en place un schma
daccrditation volontaire des prestataires de services de certification. Le rfrentiel est fond
sur la directive europenne et notamment ses annexes I et II.
Ce schma rpond aux recommandations du Conseil dtat, qui, dans son rapport de
septembre 1998, Internet et les rseaux numriques, soulignait quil paraissait lgitime
de rserver certains effets juridiques la production dun certificat dlivr par un certificateur
accrdit garantissant le respect des exigences lgales. Laccrditation sera dlivre par le
COFRAC des organismes de certification ou dinspection, qui valueront, inspecteront puis
certifieront les entreprises, qui utiliseront le certificat ou le label fourni. Le graphique ci-aprs
dcrit le dispositif daccrditation voulu par le Secrtariat dtat lindustrie.
Le schma daccrditation des prestataires de services de certification (PSC)
Accrditeur FR (COFRAC)
Rfrentiel d'accrditation bas sur les

normes existantes
Entit accrdite (organisme de certification ou

dinspection)
Rfrentiel de labellisation bas sur la Directive Europenne (annexes I
et II), sa transposition lgislative et rglementaire en droit national,
diffrentes normes et recommandations
Entreprise certifie ou inspecte (fournisseur de

produits ou de services)
Les arrts pris en application du projet de dcret signature lectronique prciseront

ce mcanisme daccrditation.
66
3.2.2.
La reconnaissance de lcrit lctronique comme formalisme ad

validitatem
Sil convient bien entendu dattendre ladoption des textes rglementaires de

transposition de larticle 9 de la directive commerce lectronique visant adapter le
formalisme des textes actuels llectronique pour pouvoir se prononcer sur les modalits
pratiques de leur mise en uvre, les tablissements sont invits rflchir sur ces points (voir
notamment 8.2.3). Ils devront en effet, le cas chant, se doter des infrastructures de scurit
permettant de remplir les exigences de forme de certaines oprations bancaires et financires.
3.3. Un cadre juridique europen en construction

3.3.1.
Limpact de la directive commerce lectronique en matire

bancaire et financire
La directive commerce lectronique consacre le principe de la libert dexercice

dune activit bancaire en ligne. Tout rgime dautorisation pralable est exclu, sil vise
exclusivement et spcifiquement le service en ligne.
En outre, larticle 3 de la directive commerce lectronique pose le principe selon
lequel chaque tat membre veille ce que les services de la socit de linformation fournis
par un prestataire tabli sur son territoire respectent les dispositions nationales applicables
dans cet Etat membre relevant du domaine coordonn et que les Etats membres ne peuvent,
pour des raisons relevant du domaine coordonn, restreindre la libre circulation des services
de la socit de linformation en provenance dun autre Etat membre . Il en rsulte que le
droit applicable aux services fournis en ligne est donc en principe celui du pays o le prestataire
de ces services est tabli et quil appartient aux autorits de ce pays de contrler les conditions
dexercice de lactivit des services en ligne.
Selon larticle 3, troisime paragraphe, les Etats membres peuvent cependant, dans
certains aspects du domaine coordonn et sous certaines conditions, droger la rgle du pays
dtablissement du prestataire en ligne, par exemple pour la protection des consommateurs et
des investisseurs. Dans ce cas, les mesures doivent tre justifies et notifies la Commission
europenne. Elles doivent tre motives par des risques srieux et graves et doivent tre
proportionnes.
En matire de surveillance prudentielle du prestataire de service en ligne, la directive
commerce lectronique ne modifie pas le partage de responsabilit actuel entre pays dorigine
et pays daccueil, issu du Trait et de la seconde directive bancaire, ni le principe de la
notification de libre prestation de services.
En revanche, la directive commerce lectronique introduit une distinction entre le
pays dorigine du prestataire et le pays dtablissement du prestataire du service de la socit
de linformation. Ainsi, par exemple, dans le domaine coordonn par la directive, le site dune
succursale implante en Allemagne par un tablissement bancaire de droit franais, qui offrirait
des services de la socit de linformation partir de lAllemagne, sera soumis au droit allemand
67
(pays dtablissement du prestataire de services en ligne) mais non au droit franais, qui
demeurera applicable la surveillance prudentielle du prestataire.
Par ailleurs, le principe de lapplication du droit coordonn du pays dtablissement
du prestataire de service en ligne ne sapplique pas pour toute une srie de domaines,
explicitement numrs dans lannexe de la directive. Ainsi des obligations contractuelles
concernant les contrats conclus par les consommateurs.
3.3.2.
La directive commerce lectronique ne remet pas en cause les

rgles traditionnelles de droit international priv
La dtermination de la juridiction comptente et de la loi applicable est actuellement

rgie pour les contrats par deux conventions, auxquelles sont parties tous les tats membres,
les Conventions de Rome et de Bruxelles, la premire permettant de dterminer la loi applicable,
la seconde la juridiction comptente. La directive commerce lectronique ntablit pas de
rgle additionnelle de droit international priv. La Convention de Rome est dapplication
intgrale. Il en va de mme pour les dispositions nationales de droit international priv, qui
rgissent les cas de relations transfrontalires non traits par les Conventions de Rome et de
Bruxelles, savoir tout le domaine extracontractuel. La Convention de Bruxelles est galement
dapplication intgrale.
3.3.3.
Le Livre vert de la Commission europenne sur le commerce

lectronique et les services financiers
Le Livre vert de la Commission sur le commerce lectronique et les services financiers,

qui sera publi courant 2001, devrait prparer une nouvelle tape dapprofondissement du
march intrieur. Est vise une harmonisation maximale des rgles de protection des
consommateurs, que doivent respecter les tablissements dans le pays daccueil. Les drogations
lapproche par le pays dorigine (protection des consommateurs, des investisseurs, obligations
contractuelles) prvues par larticle 3 de la directive commerce lectronique seront
galement rexamines. Par ailleurs, les contradictions entre la directive commerce
lectronique et les directives sectorielles seront analyses.
La proposition de directive relative aux services financiers distance, adopte par la
Commission fin 1998, sinscrit dans cette logique. Les ngociations ayant achopp sur un
dsaccord politique entre les tenants de lharmonisation minimale et les tenants dune
harmonisation totale, elles se poursuivent sur la base dun inventaire effectu par la Commission
portant sur les obligations dinformation actuelles dans les quinze tats membres. Ce tronc
commun rassemblerait des informations gnrales sur la commercialisation du service (identit
du fournisseur, dure de loffre, conditions et modalits de rtractation, langue du contrat,
etc.) voire sur le contenu mme du service financier (prix et conditions de paiement et
dexcution du contrat).
68
DEUXIME PARTIE
LANALYSE DES RISQUES
69
LANALYSE DES RISQUES

Si Internet ne change pas la nature des risques financiers pris par un tablissement sur
son client ou sa contrepartie, les risques oprationnels (risques juridiques, dont certains ont
t exposs prcdemment, risque de blanchiment, risques de scurit des systmes
dinformation) sont accentus.
En particulier, sagissant de la scurit des systmes dinformation, lutilisation
dInternet, comme canal de distribution des services bancaires et financiers, implique un risque
de permabilit des systmes de traitement de linformation des tablissements avec les
plates-formes web quils ont mises en place et, par consquent, avec les utilisateurs extrieurs.
Cette ouverture ne constitue pas une totale nouveaut. De longue date, les tablissements ont
organis des communications entre leurs systmes et lextrieur: changes de fichiers et de
messages, transmissions dordres, etc. Pour autant, jusqu prsent, les changes ont t raliss
soit au sein de la communaut financire (SWIFT par exemple) soit au moyen de rseaux
publics matriss par des oprateurs reconnus (norme de transfert X25 gre par Transpac
notamment). LInternet, en revanche, obit des protocoles de communication banaliss et
accessibles tous. En outre, sa matrise nest pas confie un oprateur unique.
Les risques oprationnels lis la scurit des systmes dinformation, bien
quaccentus, revtent un caractre traditionnel. A ce titre, les principes gnraux exposs par
le Livre blanc sur la scurit des systmes dinformation de la Commission bancaire en 1996
sont toujours dactualit. Le risque spcifique est celui dune crise de confiance, lie la perte
de crdibilit du public et des clients, qui deviennent de plus en plus volatiles.
71
4. Les risques financiers

4.1. Les services classiquement rendus dans une relation physique
sont ou seront en ligne
La communication par tltransmission entre le client et son banquier ou son prestataire
de services dinvestissement permet en effet lchange de toutes les informations ncessaires
lengagement des deux parties. On retrouve donc sur Internet lensemble des services
classiquement rendus dans une relation physique ou, plus rcemment, par tlphone:
-
ouverture et fonctionnement dun compte de dpt, avec consultation du compte et

oprations de paiements (par virement, prlvements automatiques, TIP, mission de
chques, dlivrance dune carte de paiement voire dune carte de crdit);
octroi de crdits et de garanties: sous rserve des formalits lgales imposes sur certains
types doprations (notamment les crdits immobiliers);
ouverture et fonctionnement dun compte dinstrument financier: achat et vente de tous

types dinstruments financiers, notamment lors des missions de titres ;
dlivrance de conseils commerciaux.
Ces services pourraient dailleurs tre tendus dautres types de services bancaires et
financiers, par exemple:
-
le recouvrement deffets de commerce;
les introductions en bourse et placements dmissions obligataires. Ces activits sont en

plein dveloppement aux tats-Unis.
Les services existants ou en projet sur Internet ne font en revanche apparatre aucun
service ou opration ayant une nature particulire. Tout au contraire, les prestataires engags
sur ce moyen dchange mettent plutt en avant la possibilit de raliser par Internet toutes les
oprations traditionnellement effectues au guichet, voire par courrier, en bnficiant des
avantages dun change automatique: rapidit, faibles cots, et mme scurit.
4.2. Les risques financiers sont de mme nature

Ce caractre traditionnel des oprations bancaires et financires sur Internet a pour
consquence vidente que les risques de nature financire de ltablissement sur son client
restent ceux existant dans le cadre dune relation traditionnelle:
-
72
risque de crdit pour les concours octroys sous quelque forme que ce soit (prts, avances,
dcouverts autoriss en comptes, crdits revolving, facilits de trsorerie, voire garanties);
risque dilliquidit (inadquation emplois/ressources);
risque dintermdiation sur les oprations dinvestissement excutes pour le compte du

client.
En matire de contrle interne du risque financier, les dispositifs classiques de matrise

des risques, prvus par les prescriptions rglementaires en vigueur ou venir (pour les
prestataires de services dinvestissement) sont suffisants.
Par ailleurs, sur le plan juridique, le maintien de la forme crite a pour consquence
quInternet ne peut servir que de canal dchange dinformations, tant quun contrat crit
nest pas sign. A dfaut de possibilit dengagement par ce moyen, il ne peut y avoir de
risques financiers.
Cette conclusion est naturellement remise en cause par les volutions en cours du droit
positif: projet de loi sur la socit de linformation, transposition totale de la directive sur le
commerce lectronique, qui prvoit une adaptation des exigences juridiques de lcrit-papier
llectronique. Ces questions sont traites au point 3.2 relatif au droit de la preuve. Une
rflexion particulire devra, ce titre, tre mene en fonction des principes et rgles retenus
par le lgislateur.
73
5. Les risques oprationnels

Les risques oprationnels sont ici dclins en plusieurs risques: risque juridique, risques
lis la scurit des systmes dinformation, risques lis la scurit des transactions, risques
en matire de blanchiment.
5.1. La scurit juridique

Le caractre transfrontalier de loffre Internet fait courir aux tablissements de
crdit et aux entreprises dinvestissement des risques juridiques. Ils doivent se conformer,
pays par pays, aux rgles relatives lexercice de lactivit envisage - notamment lobtention
dun agrment -, aux rgles relatives la capacit des clients effectuer des oprations bancaires
et financires (conditions de majorit ou de capacit juridique, conditions daccs au type de
service propos), aux conditions de forme de la prestation de services envisage, notamment
les conditions dclaratives ou les obligations de vrification (consultation de fichiers dincidents
par exemple) louverture dun compte, aux rgimes spcifiques de protection des clients
(droit de la consommation, rgles applicables linformation des investisseurs,), et
notamment aux rgles dordre public qui simposent aux parties, au rgime fiscal,aux rgles de
preuve, etc.
Par ailleurs, au-del du respect des rgles relatives la lutte contre le blanchiment, la
connaissance du statut juridique du client est indispensable pour la matrise du risque juridique,
compte tenu du caractre international de lactivit. Aussi ltablissement doit-il veiller la
scurit juridique de toutes les oprations engages avec ou pour le compte de son client. Il
doit sassurer en particulier du caractre certain de son consentement lopration, mme
transmis de manire dmatrialise.
Enfin, la transposition de larticle 9 de la directive commerce lectronique, qui prvoit
ladaptation du formalisme de lcrit-papier llectronique (voir point 3.2. sur le droit de la
preuve), fixera des rgles de forme pour les contrats conclus lectroniquement. La technique
devra accompagner ces exigences juridiques, sous peine de nullit du contrat.
5.2. LInternet bancaire et financier accentue la porte du risque

oprationnel li la scurit des systmes dinformation
5.2.1.
La permabilit entre systmes dinformation internes et Internet
Internet dcloisonne les moyens dchange et de traitement des donnes. Les rseaux
internes et externes reposent en effet dsormais avec Internet sur la mme technologie TCP/
IP. Les techniques utilises sur ces terminaux lextrieur de ltablissement et le rseau
public et les techniques utilises en interne au sein de ltablissement sont identiques. En
outre, les quipements terminaux ne sont plus spcifiques: ordinateurs personnels banaliss,
tlphones portables, connectables depuis nimporte quelle localisation.
74
Internet rend possible le traitement entirement automatis dun nombre trs lev
dchanges par unit de temps et rend enfin beaucoup plus probables (en frquence et en
amplitude) les attaques. Dcloisonnement et nombre considrable dinternautes appel se
dvelopper la faveur de laccs au rseau par les tlphones ou autres appareils domestiques
et mobiles se conjuguent pour rendre les systmes dinformation plus vulnrables.
En outre, lopportunit ou mme la ncessit dexternaliser linformatique, de dlocaliser
ou dclater le systme dinformation sont dsormais plus grandes quauparavant. Or, dans de
telles situations, il peut savrer plus difficile de surveiller, de contrler et de ragir directement
des attaques ou des dysfonctionnements. La gestion du systme dinformation peut tre
mme compltement externalise. Le contrle interne se doit, dans cette perspective, dtendre
son champ daction.
Un site peut tre dans lincapacit de rpondre aux appels des clients. Les attaques de
dni de service, qui visent saturer le serveur sous un flot de requtes, se sont rcemment
dveloppes. Tout site web a en effet une capacit maximale daccs en cas de connexion
simultane. En outre, tous les jours, des failles potentielles dans des systmes et/ou des produits
sont mises en vidence sur Internet. Aussi, tant donn la nature volutive des attaques en
provenance dInternet, lvaluation de la politique de scurit doit tre actualise de faon
rgulire et dynamique.
5.2.2.
Le risque de rputation, qui peut se propager lensemble de la

place
Les risques oprationnels lis la scurit des systmes dinformation revtent un

caractre traditionnel. A cet gard, les principes gnraux exposs par le Livre blanc de la
Commission bancaire de 1996 sur la scurit des systmes dinformation sont toujours
dactualit. Au del des risques traditionnellement recenss, le risque spcifique attach
lutilisation dInternet comme canal de distribution des services bancaires et financiers est
celui dune crise de confiance, lie une perte de crdibilit de la part du public -et non
seulement des clients- face des dysfonctionnements: problmes techniques, fraudes,
malversations, dni de service. On ne peut non plus exclure les attaques visant dstabiliser
un tablissement et ternir son image (caricatures sur le site, images pornographiques, etc).
Les dysfonctionnements constats dans un tablissement ou les incidents rencontrs
peuvent ternir sa rputation et le dstabiliser. Partant, ils comportent un risque de contagion
lencontre de la communaut bancaire et financire dans son ensemble.
5.2.3.
Lanalyse du risque par le Comit de Ble
En mars 1998, le Comit de Ble a publi un rapport: Risk management for electronic
banking and electronic money activities. Ce rapport recense -sans que la liste ait la prtention
de lexhaustivit- les risques auxquels sont soumis les banques lectroniques. La teneur des
risques oprationnels et du risque de rputation est particulirement souligne.
Le risque oprationnel est dclin en plusieurs risques. Ltablissement doit faire face
un certain nombre de menaces: accs non autoris dans le systme informatique, injection
75
de virus, fraudes des employs. Ce risque est induit par certaines vulnrabilits: obsolescence
du systme, dfaillances des fournisseurs daccs, imprudences des clients, qui utilisent de
linformation personnelle (numros de carte de crdit ou numros de comptes bancaires) dans
des transmissions non scurises.
Afin de rduire le risque oprationnel, plusieurs mesures sont prconises:
-
mesures de scurit visant prvenir (pare-feu, mots de passe, techniques de cryptage),

dtecter et contenir des fraudes ou des dysfonctionnements ;
mesures visant valuer le niveau effectif de scurit du systme (tests de vulnrabilit,

audit externe) ;
mesures visant sensibiliser les clients aux enjeux de la scurit.
Le risque de rputation est galement soulign. Les clients face des dfaillances du
systme -diffusion large et rapide de fausses informations, usurpation didentit des fins
malveillantes, attaque de sites- peuvent quitter la banque en masse.
Le Comit de Ble devrait, dans le courant de lanne 2001, mettre nouveau des
recommandations en matire de matrise des risques des banques lectroniques. Les diffrents
principes en matire de contrle interne, dexternalisation, de scurit et de respect des donnes
transmises seront dclines en codes de bonne conduite. Laccent sera mis en particulier sur la
scurit et le respect de la vie prive des clients, sources de risques juridiques et de rputation,
qui peuvent se propager lensemble de la place.
5.3. Identification/authentification, intgrit, confidentialit et non

rpudiation des transactions
5.3.1.
Les besoins de scurit des transactions bancaires et financires

en ligne
Suivant le type de transactions, un certain nombre de besoins de scurit doivent tre

remplis, pour permettre aux utilisateurs dInternet, datteindre un niveau de confiance
satisfaisant dans les oprations bancaires et financires en ligne :
-
pouvoir correctement identifier et authentifier son interlocuteur;
avoir lassurance que les messages quil envoie nont pas t altrs dans le transport
(intgrit);
avoir lassurance que ces messages nont pas t ports indment la connaissance de
tierces parties (confidentialit);
et avoir lassurance que linterlocuteur ne peut nier tre lauteur dun message (nonrpudiation).
76
A lheure actuelle, la plupart des solutions utilises par les fournisseurs de services
bancaires ou financiers en ligne pour leurs relations avec les particuliers (et dans certains cas
les professionnels) ne permettent pas de garantir la non-rpudiation8 , dans la mesure o les
secrets (code confidentiel, cl prive) confis au client sont stocks ou transitent en clair dans
son PC qui constitue un environnement vulnrable aux attaques depuis le rseau (chevaux de
Troie et virus). Notons que dans le domaine du B to C (Business to Consumer), la solution
cyber-Comm utilisant un lecteur scuris de carte puce permet dassurer la non-rpudiation
des paiements par cartes bancaires sur Internet.
Dans cette situation, les clients peuvent contester les oprations effectues rception
des relevs correspondants. Dans lincapacit dopposer leurs clients la preuve de leur
implication, les tablissements nont dautre choix que dannuler la transaction en subissant
ventuellement les pertes correspondantes ou daller au contentieux, en prenant un risque
dimage significatif.
Les infrastructures de cls publiques (voir dans le glossaire cryptographie clef
publique) dans lesquelles interviennent des autorits de certification, qui mettent des
certificats permettant de scuriser la transaction, et les cartes microprocesseur sont des
contributions essentielles la couverture de ces besoins.
Il convient toutefois de signaler que tous les pays nont pas la mme aversion au risque
et certains peuvent saccommoder dun environnement o les transactions sont rpudiables. Il
reste que cette incertitude juridique a un cot qui est factur au client.
5.3.2.
La cryptographie cl publique apporte des solutions aux besoins

de scurit des transactions bancaires et financires en ligne...
Pour scuriser les changes, ont t principalement utiliss jusqu ce jour des systmes
cls secrtes, dans lesquels chaque couple metteur/rcepteur possde sa propre cl secrte.
Lmetteur utilise la cl pour chiffrer tout ou partie du message. Le rcepteur, dchiffrant le
message, sassure que le message a bien t mis par le bon metteur. Simultanment, le
chiffrement du message garantit que celui-ci ne peut tre intercept par un tiers. Ce systme
est mal adapt Internet. En effet, dans une architecture dcentralise, chaque fois que lon
cre un nouveau couple metteur/rcepteur, il faut crer une nouvelle cl secrte. Si un utilisateur
doit communiquer avec quelques centaines de correspondants, il lui faudra alors grer un
nombre quivalent de cls et les faire parvenir de faon sre.
En revanche dans une infrastructure cl publique, chaque acteur dispose dun couple
cl scrte/cl publique. La cl prive est garde secrte pour quune seule personne puisse
lutiliser. A linverse, la cl publique est connue et utilise par tous. Ce couple de cls ou bicl est conu de telle sorte quun message crypt en utilisant lune des cls peut tre dcrypt
en utilisant lautre, et seulement lautre. Lutilisation de la cl prive gnrera la signature
dun document. Tout lecteur de ce document ayant accs la cl publique de lutilisateur
sera alors mme de vrifier cette signature. Ce mcanisme prsente une analogie avec
lacte de signature manuscrite.
8) Impossibilit pour lutilisateur ou le prestataire de nier quil est lauteur de la transaction et que celle-ci existe bien.
77
Mais, pour que la cl publique devienne un vritable passeport lectronique et identifie

de faon sre une seule personne, une opration supplmentaire est ncessaire : un tiers
certificateur doit intervenir pour garantir que la cl publique dune personne est bien la bonne.
Il sagit, en effet, dempcher quun escroc prsente la communaut sa cl publique en la
faisant passer pour la cl publique dune autre personne.
5.3.3.
...mais les organisations mettre en place sont complexes...
Du fait de la ncessit de gnrer et distribuer les certificats dans le cadre de procdures

scurises, les infrastructures cls publiques ont t mises en uvre, jusqu maintenant,
principalement au sein de communauts fermes dutilisateurs, qui sont gnralement de taille rduite.
En outre, lorsque deux internautes cherchent tablir une relation commerciale sur
Internet, il est improbable quils disposent de certificats mis par la mme autorit de
certification. Chacun dentre eux na aucune raison a priori de faire confiance lautorit de
certification de lautre. Le protocole SSL permet en thorie un particulier dauthentifier le
serveur du commerant ou de la banque avec lequel il rentre en relation9 ; dans la pratique, il
peut consulter le certificat de cl publique de son interlocuteur, sign par lautorit de certification
de celui-ci ; mais quelle confiance peut-il faire a priori cette autorit, en particulier si elle se
situe dans un pays tranger ?
6. Interoprabilit des autorits de certification
Linteroprabilit des autorits de certification est une condition ncessaire du
dveloppement de la confiance : elle peut tre obtenue soit par des accords bilatraux de
reconnaissance mutuelle, soit de faon plus simple, par des architectures arborescentes
avec des autorits mres qui fixent au niveau international les rgles (politiques de
certification) applicables aux autorits filles, et assurent la promotion auprs du public
vis de leur image de marque. Ces infrastructures se mettent en place progressivement
dans le domaine bancaire, notamment dans le secteur inter-entreprises (GTA, IDENTRUS).
5.3.4.
... et les cartes puce sont un complment indispensable des

infrastructures cls publiques
Dautres difficults techniques restent rsoudre si lon cherche assurer la nonrpudiation des oprations. En particulier, la conservation des secrets (cl prive, code
confidentiel) permettant lutilisateur de donner son consentement aux transactions ne peut
se faire pour linstant de faon sre dans un environnement de type PC o des virus ou des
chevaux de Troie, dont le seul but est de capturer ces secrets, peuvent tre tlchargs par
mgarde. La mise en oeuvre dune scurit satisfaisante ncessite lutilisation de dispositifs
matriels spcifiques, savoir une carte microprocesseur et un lecteur scuris. Aux PaysBas, Interpay met en uvre une solution similaire Cyber-Comm. En Allemagne, la BfG
BANK et la RVB MAINZ ont toutes deux retenu depuis avril 1998 la solution de la carte puce
comme interface de scurit, la suite de la SPARDA BANK de Hamburg, qui la premire a
dvelopp ce projet. Les banques franaises ont pris de lavance dans ce domaine avec CyberComm et sa solution scurise de paiement par cartes bancaires fonde sur le protocole SET.
9) Les diffrentes versions du protocole SSL remplissent des fonctionnalits diffrentes. Si le protocole SSL V.2. permet dauthentifier le
serveur du commerant ou de la banque avec lequel il entre en relation, mais pas le contraire, le protocole SSL V.5. permet didentifier le
client et le serveur. Dans ce cas, le client doit possder un certificat produit soit par la banque soit par un PSC externe.
78
5.3.5.
L analyse des risques induits par les prestataires de service de

certification (PSC) intervenant dans le secteur bancaire et financier
Les proccupations des autorits bancaires obissent une double logique. Il sagit de
sintresser, dune part, au titre de larticle 4 de la loi du 4 aot 1993, aux proccupations lies
la scurit des paiements, qui font actuellement lobjet dune tude prospective entre Banques
centrales au niveau international, et dautre part, la scurit de la relation entre ltablissement
de crdit ou lentreprise dinvestissement et ses clients, o le point dappui rglementaire est
larticle 14 du rglement 97-02 sur le contrle interne et larticle 15 de la loi bancaire.
Larticle 14 du rglement n 97-02 relatif au contrle interne dispose que:
Les tablissements de crdit dterminent le niveau de scurit informatique jug
souhaitable par rapport aux exigences de leurs mtiers. Ils veillent au niveau de scurit
retenu et ce que leurs systmes dinformation soient adapts. Le contrle des systmes
dinformation doit notamment permettre:
a)
de sassurer que le niveau de scurit des systmes informatiques est priodiquement

apprci et que, le cas chant, les actions correctrices soient entreprises;
b)
de sassurer que les procdures de secours informatique sont disponibles afin dassurer
la continuit de lexploitation en cas de difficults graves dans le fonctionnement des
systmes informatiques.
Le contrle des systmes dinformation stend la conservation des informations et

la documentation relative aux analyses, la programmation et lexcution des
traitements.
Larticle 15 de la loi bancaire dispose, quant lui, que le Comit apprcie galement
laptitude de lentreprise requrante raliser ses objectifs de dveloppement dans des
conditions compatibles avec le bon fonctionnement du systme bancaire et qui assurent la
clientle une scurit satisfaisante.
ce titre, les autorits bancaires ne peuvent rester indiffrentes aux risques juridiques
(voir ce propos le point 8.1.2. sur la matrise du risque juridique au regard du recours aux
PSC) et financiers (usurpation didentit, altration, dtournement de transactions, possibilit
de rpudiation), qui rsulteraient dautorits de certification utilisant des dispositifs
techniques dfaillants, ou ayant des politiques de certification peu sres.
Dans la mesure o les structures de certification sont en cours de formation et que des
travaux de normalisation sont en train dtre mens, il serait prmatur de vouloir dresser, ce
stade, une liste exhaustive des exigences de scurit. Il reste que les risques induits par les
PSC intervenant dans le secteur bancaire et financier devraient tre analyss avec prcision.
79
5.4. Risques en matire de blanchiment prsents par lutilisation

dInternet
Le blanchiment est le fait de faciliter, par tout moyen, la justification mensongre de
lorigine des biens ou des revenus de lauteur dun crime ou dun dlit ayant procur celuici un profit direct ou indirect. Constitue galement un blanchiment le fait dapporter un concours
une opration de placement, de dissimulation ou de conversion du produit direct ou indirect
dun crime ou dun dlit. Le dlit de blanchiment est considr comme aggrav lorsquil est
commis de faon habituelle ou en utilisant les facilits que procure lexercice dune activit
professionnelle. Trois tapes sont ainsi distingues pour la ralisation doprations de
blanchiment:
-
le placement consiste introduire les fonds provenant dun crime ou dun dlit dans le
systme bancaire, notamment par le moyen de dpts en espces;
la dissimulation consiste masquer lorigine criminelle des fonds, grce des virements
et montages financiers;
la conversion consiste investir les fonds dissimuls dans les circuits conomiques licites,
par le biais dinvestissements divers.
5.4.1.
Services financiers sur Internet et permabilit au blanchiment
Les oprations bancaires effectues sur Internet ne paraissent pas prsenter de risques
de nature spcifique en matire de blanchiment dargent. En revanche, trois facteurs principaux
accroissent les risques traditionnels: facilit daccs au rseau sans contrainte gographique,
matrielle ou temporelle, dmatrialisation, et rapidit des oprations.
Ces trois facteurs, dans un contexte de traitement automatis des oprations, rendent le
contrle des flux financiers plus complexe, tant au moment de lentre en relation avec le
client que lors de la ralisation des transactions financires.
5.4.1.1.
Ouverture de compte et entre en relation avec la clientle
Le risque de blanchiment survient essentiellement propos des clients nouveaux dune

banque Internet, quelle soit ou non intgre une banque traditionnelle. Il est li
laccomplissement distance des formalits administratives douverture de compte, en labsence
dun entretien impliquant la prsence physique du client. Bien que de mme nature que dans
une banque traditionnelle, les problmes lis lidentification du client, personne physique
ou morale, sont accrus de par la dmatrialisation de lentre en relation:
-
fausse identit pour une personne physique, avec production de faux documents justificatifs;
identification dune personne morale dont lexistence juridique relle ne peut tre vrifie
ou qui exerce une activit fictive;
80
ouverture de compte au nom de structures juridiques domicilies dans des territoires dans
lesquels des dispositions ont t prises pour garantir lanonymat de leurs ayants droit;
authentification de la signature du client, qui simpose galement pour la ralisation des

oprations bancaires.
En outre, des renseignements tels quun changement dadresse ou la mise en uvre

dune procuration peuvent dissimuler une modification de lidentit des utilisateurs du compte.
En consquence, le suivi administratif des titulaires des comptes ouverts distance devra tre
aussi rigoureux que louverture du compte.
Il est souligner que la difficult dtablir avec certitude lidentit dun client est
encore plus grande pour des clients non-rsidents pour lesquels les organismes financiers
disposent de moins de moyens pour vrifier certains renseignements communiqus par le
client.
5.4.1.2.
Dmatrialisation et automatisation des oprations
Les services financiers offerts sur Internet se distinguent de ceux offerts distance par
tlphone ou par courrier par la dmatrialisation et lautomatisation totale de la relation avec
le client.
Le risque de blanchiment est dautant plus fort que les oprations financires utilises
cet effet (oprations en espces et scripturales) seffectuent dans un processus entirement
automatis avec des oprateurs nayant pas de relation personnelle avec leur gestionnaire de
dossier, contrairement ce qui se produit dans une banque traditionnelle.
Or, ce qui peut caractriser une banque Internet cest dune part la possibilit offerte
au client - et la volont de ce dernier- de traiter lui-mme ses oprations distance, et dautre
part pour la banque Internet une rduction considrable des cots de gestion en personnel.
Il est craindre que quelques gestionnaires de dossiers soient en charge dun nombre
considrable de clients au point de ne pas connatre suffisamment leur clientle, mme sils
sont dots de systmes de surveillance. Dans ce contexte, certains clients peuvent profiter de
la dpersonnalisation de leurs relations avec ltablissement teneur de compte pour effectuer
des oprations de blanchiment.
5.4.1.2.1.
Les oprations despces, retraits et versements
Il convient ici de souligner que le fonctionnement dun compte intgralement gr sur

Internet est parfaitement assimilable celui dun compte classique, en termes dtendue des
oprations ralisables par le client.
En effet, une fois le compte ouvert distance sur Internet, des oprations de retraits
ou de versements despces pourront tre effectues automatiquement en recourant des
DAB ou des guichets automatiques libre service, sans aucun contact physique entre le
client et son banquier.
81
En outre, mme dans lhypothse o selon des accords passs entre une banque
Internet et une banque traditionnelle, cette dernire assurerait un service de retraits ou de
versements despces au profit des clients ayant ouvert un compte auprs de la banque
Internet, il subsisterait nanmoins un risque li la non-connaissance du client et de son
profil de compte par la banque traditionnelle, ou simplement une mauvaise application des
mesures anti-blanchiment par la banque traditionnelle.
Il reste que lintroduction massive despces dans le circuit bancaire par des
blanchisseurs seffectue plutt auprs de guichets de banques traditionnelles, situes de
prfrence dans des zones peu contrles, notamment les paradis rglementaires. Les fonds
font ensuite lobjet de transferts par le rseau bancaire traditionnel ou Internet.
5.4.1.2.2.
Les oprations scripturales
Il sagit essentiellement des oprations de virements, transferts qui permettent de

vhiculer des capitaux.
Les ordres de transferts, transmis par le client et qui feraient lobjet dun traitement
automatis par le service des transferts de la banque Internet, autorisent des mouvements de
capitaux sans quun gestionnaire de dossier puisse oprer un quelconque contrle de
vraisemblance de lordre de transfert par rapport au profil du compte, compte tenu notamment
des revenus du titulaire, de son activit, de son statut de rsident ou de non rsident, de la
destination des fonds.
Lautomatisation du processus dtruit la mmorisation naturelle par le gestionnaire du
compte des caractristiques de fonctionnement de ce dernier, et napporte plus lopportunit
de mieux connatre le client loccasion dentretiens courants dans une banque traditionnelle.
La banque Internet est susceptible de disposer dune clientle plus largement
cosmopolite, comprenant potentiellement une part importante de non-rsidents qui pourraient
tre tents de chercher bnficier dune certaine opacit des oprations travers des processus
automatiss. La gestion distance facilite galement les mouvements de fonds via le rseau
Internet sous la forme de virements, ventuellement internes dans le cas doprations de compte
compte au sein de la mme banque Internet.
Dans ltat actuel de la technologie en matire de systme de paiement, il convient de
souligner que lautomatisation totale (straight-through-processing) des virements
transfrontaliers -cest--dire les plus risqus en matire de blanchiment des capitaux- est encore
difficile en raison notamment de la multiplicit des canaux de paiement utilisables et des
problmes de standardisation des messages au niveau international. Toutefois, ce risque ne
peut tre nglig dans la mesure o ces obstacles lautomatisation seront probablement levs
de faon progressive.
A dfaut dun systme de surveillance appropri des oprations effectues selon un
processus automatis, la banque Internet amplifie les risques de blanchiment qui existent
dj avec des banques traditionnelles.
82
Par consquent, lautomatisation et la dmatrialisation des oprations autorises par

Internet obligera les tablissements modifier leurs techniques classiques de contrle des
oprations.
5.4.1.3.
Facilit daccs par Internet des techniques traditionnelles de blanchiment
Est vise ici, non pas lutilisation par les blanchisseurs de services bancaires offerts
dautres fins que le blanchiment sur Internet, mais la mise en uvre grce Internet des
techniques traditionnelles de blanchiment que sont lutilisation des paradis fiscaux ou la cration
de socits crans:
-
les services bancaires offerts sur Internet par des banques installes dans les territoires
non coopratifs, o la lgislation sur la lutte contre le blanchiment est insuffisante ou
inexistante et la lgislation sur le secret bancaire trs protectrice du client ;
les sites Internet proposant de crer des socits dans des paradis fiscaux, et offrant divers
services bancaires off-shores ou des services de domiciliation et de prte-noms comme
actionnaires ou dirigeants de socits.
Internet permet un accs plus rapide et plus facile ces services et constitue ds lors un
risque non ngligeable de dveloppement des oprations de blanchiment.
5.4.2.
Monnaie lectronique
Est dsigne sous le vocable de monnaie lectronique une crance sur lmetteur de
cette monnaie, incorpore dans un support lectronique et accepte en paiement par des tiers
autres que lmetteur. Le support lectronique peut tre une carte microprocesseur, et lon
parle alors de porte-monnaie lectronique (PME). Lorsquil sagit dun serveur plac sous
la responsabilit de lmetteur et accessible depuis un PC quip dun logiciel adquat par
lintermdiaire du rseau Internet, on parle de porte-monnaie virtuel (PMV).
5.4.2.1.
Porte-monnaie lectroniques (PME)
Les risques de blanchiment lis au dveloppement des porte-monnaie lectroniques,

en particulier des PME anonymes et de ceux qui permettent de raliser des oprations de
transfert de valeur lectronique de carte carte, ont fait lobjet danalyses dans le cadre des
travaux de rvision de la directive blanchiment ; elles sortent a priori du cadre de ce
rapport consacr aux risques de blanchiment gnrs par les oprations bancaires et financires
sur Internet.
On signalera simplement que le rechargement des PME est possible sur Internet
directement partir dun compte bancaire ou en utilisant une carte bancaire classique; le
paiement des commerants virtuels sur Internet est galement propos par de nombreux
systmes. Ces oprations se font alors laide dun lecteur de cartes microprocesseur connect
au PC. Elles ne gnrent pas de risques autres que ceux qui ont dj t identifis pour les
PME utiliss de manire traditionnelle: les PME, lorsquils sont anonymes ou dots dune
83
fonction de transfert de carte carte, peuvent servir des oprations de blanchiment, car ils
permettent de dissimuler des revenus ou de transfrer des fonds, mais ce risque peut tre
limit par certaines caractristiques des PME, telles que le plafond de rechargement de la
carte, la limitation du nombre de rechargements possibles de la carte, la limitation du nombre
maximum de cartes par client, les modalits de chargement des PME.
Certaines de ces caractristiques sont dlibrment choisies par les promoteurs des
PME eux-mmes; dfaut, les autorits devront sinterroger sur lopportunit de les rendre
obligatoires.
Pour sa part, la Banque de France considre quil est souhaitable de rendre obligatoire
lidentification des personnes auxquelles est dlivr un PME dont la capacit maximale excde
un certain montant et/ou lidentification des clients effectuant des oprations dacquisition ou
de rechargement de monnaie lectronique excdant un certain montant autrement que par dbit
dun compte ouvert auprs dun tablissement de crdit assujetti une obligation didentification.
5.4.2.2.
Porte-monnaie virtuels (PMV)
Les porte-monnaie dits virtuels (PMV) permettent dutiliser une rserve de valeur pour
lachat de services offerts sur Internet partir des ordinateurs personnels. Le risque dutilisation
de ces PMV par des blanchisseurs est li au fait que la rserve de valeur est dtenue de manire
anonyme. Elle pourrait donc tre utilise de faon anonyme, pour acqurir des actifs (financiers
notamment) ou transfrer des fonds.
Ce risque apparat cependant limit puisque que cette rserve de valeur est constitue ou
reconstitue par dbit dun compte bancaire (production dun numro de carte bancaire pour
lopration de chargement ou rechargement); il demeure que cela ne garantit pas que le titulaire
dudit compte soit identifi mais seulement une traabilit de lopration. Il nest dailleurs pas
exclu que le chargement ou rechargement dun PMV puisse provenir dun PME lui-mme anonyme.
On doit souligner cet gard que, conformment la directive n 2000/46 du 18
septembre 2000 concernant laccs lactivit des tablissements de monnaie lectronique et
son exercice, les metteurs de PMV et de PME devront avoir le statut dtablissement de
crdit et tre assujettis ce titre aux obligations didentification de leurs clients ainsi qu la
dclaration de soupon prvues par la directive n91/308 du 10 juin 1991 relative la
prvention de lutilisation du systme financier aux fins de blanchiment des capitaux.
Une autre attnuation du risque susvis provient de la capacit maximale de chargement
des PMV, qui limite la nature et le montant des transactions pouvant tre ralises au moyen
de cet instrument. Cette contrainte rsulte de la pratique actuelle mais non dune obligation
lgale.
Enfin, il convient de signaler un risque de drive qui consisterait offrir aux titulaires
des PMV dautres services permettant de mobiliser les fonds concerns, que le seul service de
paiement ddi; on verrait alors apparatre de vritables comptes bancaires anonymes.
84
6. Les risques sur les clients et sur les contreparties

6.1 Lanonymat du client
Lanonymat relatif du client, surtout lorsquil est non-rsident, rend plus difficile la
dtermination de sa capacit juridique et financire, ce qui pourrait conduire certains acteurs,
dans un contexte de vive concurrence, ngliger les rgles de base en matire de gestion du
risque client. Ceci prsente un rel danger dans la mesure o Internet donne accs des
oprations financires volues des populations nouvelles (en particulier en matire
doprations dinvestissement) pour lesquelles les pratiques traditionnelles des professionnels,
fondes sur la connaissance historique de clients la fois fidles et expriments, seraient
totalement inadaptes.
6.2. Les effets sur la gestion du risque client de la concurrence,

avive par Internet
Les conomies dchelles importantes permises par Internet, ainsi que les volutions
technologiques permanentes, permettent et favorisent une concurrence extrmement vive sur
ce secteur, encore accrue par le faible seuil lentre qui favorise la multiplication des acteurs,
souvent de faible taille.
Le risque est dautant plus lev que le public vis, nayant souvent aucune culture
technique, nest pas prpar accepter une dfaillance du service qui lui est fourni. On peut
donc craindre de sa part une faible fidlit lgard des prestataires, ce qui conduit prvoir
des mouvements importants de la clientle, prompte quitter un intermdiaire pour un autre
en cas de problmes techniques, notamment des dlais de traitement levs.
Cet tat de fait pourrait conduire certains dentre eux ngliger la matrise des risques
au profit de leur rentabilit immdiate. En outre, une entreprise de petite taille, en cas de
succs, peut se trouver prise de court par un volume de traitement du risque clients auquel elle
nest pas prpare.
6.3 La faible culture de prudence de certains prestataires de

services sur Internet
Sur ce march coexistent des tablissements expriments, agissant soit par eux-mmes,
soit par une filiale, le cas chant en joint-venture avec un partenaire technique, et des entreprises
nouvelles, cres rapidement. Les premires, mme si leur matrise de ces techniques nouvelles
reste dmontrer, ont dj une culture du risque, qui fait parfois dfaut aux secondes.
85
TROISIME PARTIE
LA MATRISE DES RISQUES
87
LA MATRISE DES RISQUES

Lopposition entre une relation physique de ltablissement avec ses clients, dans le
cadre dune agence, et une relation distance, regroupant la fois la banque par tlphone, la
tlmatique et Internet, semble peu pertinente. Il semble plus intressant de distinguer entre
des modes de relations humains, qui impliquent lintervention dun collaborateur ayant une
libert de dcision, et les canaux automatiss.
-
Les canaux dchange humains : guichet, courrier, tlphone, tlcopie
Le collaborateur est en mesure deffectuer certains contrles rpondant des situations

imprvues ou spcifiques, sur la base dune attribution personnelle de responsabilit sur les
oprations quil engage.
Il est noter que certaines activits menes par un canal Internet relvent cependant
dun traitement humain, notamment dans le cas de lactivit de crdit la consommation.
Mme si des informations sont changes par Internet, elles donnent lieu une analyse par un
collaborateur, aprs entretien avec le client, avant tout engagement de ltablissement.
Dans ce cas de figure, la gestion du risque passe par la dfinition de procdures
et le contrle de leur respect ex-post par le contrle interne de deuxime niveau.
-
Les canaux dchange automatiss : minitel, audiotel, tltransmission (dont Internet),

crans daccs au systme dinformation mis la disposition des clients
Cette solution particulire se rencontre frquemment dans le domaine de la prestation

de services dinvestissement. Les crans permettant daccder aux systmes informatiques de
routage dordres vers les marchs peuvent tre dlocaliss chez le client (gnralement un
institutionnel) ou mis disposition de clients, souvent des particuliers, soit dans des locaux
appartenant ltablissement, soit dans les locaux dun tablissement tiers. Quel que soit le
schma retenu, cet accs direct aux systmes internes de ltablissement engendre des exigences
scuritaires particulirement aigus.
Le client est en relation directe avec un systme dinformation : les informations et
ordres reus sont traits par le systme conformment aux rgles prdfinies. Si un contrle
indispensable na pas t prvu, lordre sera excut sans possibilit de larrter, voire mme
sans que ltablissement en soit inform.
Dans ce cas, la matrise des risques est fonde sur la dfinition de rgles de gestion
rigoureuses. Le contrle interne de deuxime niveau doit tre consacr la vrification
de leur correcte application par le systme.
Les risques financiers et oprationnels encourus par les tablissements de crdit et les
entreprises dinvestissement offrant leurs services en ligne militent en faveur dun renforcement
des moyens de contrle. Tout particulirement, il sagit de prciser dans le cadre de
89
recommandations de bonnes pratiques les rgles relatives au contrle interne, fixes par le
rglement n 97-02 du Comit de la rglementation bancaire et financire.
7. Document relatif la stratgie commerciale Internet de ltablissement
A ce titre, ltablissement devrait formaliser sa stratgie commerciale sur
Internet, dans un document valid par les organes excutif et dlibrant, qui
dvelopperait en particulier le plan de dveloppement de lactivit, en termes de
services offerts, de clientle, de volume dactivit et de rentabilit, en tenant compte
de manire exhaustive des facteurs de risques techniques et commerciaux. Sur la
base dhypothses prudentes, ltablissement validerait ainsi le montant des fonds
propres requis pour assurer la prennit de lactivit, y compris dans le cas dune
situation de crise, technique ou commerciale.
A tout le moins, trois types de risques de crise devraient tre pris en compte:
le risque commercial de forte chute du produit net bancaire, le risque datteinte
limage et la rputation de ltablissement suite des problmes techniques, le
risque technologique dinadaptation du systme face la croissance de lactivit.
Il est souhaitable que ce document relatif la stratgie commerciale soit mis
jour et discut chaque tape du projet.
Ltablissement devrait galement avoir mis par crit sa politique de matrise des risques
(de contrepartie, juridique et technique) et lavoir fait valider par son organe dlibrant. Le
responsable du contrle interne devra recevoir une comptence explicite et exhaustive sur
toutes les questions relatives la scurit des oprations sur Internet. Ce document servira de
rfrence pour apprcier les dispositifs de scurit mis en uvre (voir point 8.1.1.).
Des recommandations plus spcifiques relatives la matrise du systme dinformation,
la scurit juridique, la matrise du risque sur les clients et les contreparties, au contrle de
la rentabilit des oprations et la lutte contre le blanchiment sont exposes ci-aprs.
90
7. Assise financire et suivi de la rentabilit

7.1. Vrification au moment de lagrment de la solidit de la
structure financire
Parmi les diffrents aspects quelles examinent dans le cadre dune demande dagrment,
les autorits comptentes apprcient la viabilit et la rentabilit attendues du projet dentreprise.
Elles analysent ainsi les moyens financiers dont disposera ltablissement et le soutien
financier dont il pourra bnficier, le cas chant, de la part des apporteurs de capitaux.
Ces analyses sappuient notamment sur des projections financires, gnralement
trois ans, des principaux tats comptables et des ratios prudentiels. Il va de soi que lexamen
de ces caractristiques financires prend en compte la dimension du projet en termes dactivits
envisages, de risques associs encourus et de parts de march espres.
Jusqu prsent, les projets concernant lexercice dactivits bancaires ou financires
par Internet quont eu connatre les autorits portent presque exclusivement sur des demandes
dagrment dentreprises dinvestissement, adosses des groupes bancaires ou financiers
existants, ou constituant des acteurs nouveaux sur les marchs.
Les projets des entreprises dinvestissement, agres jusqu prsent, qui peuvent tre
de dimensions varies, prsentent les caractristiques suivantes :
-
ces tablissements ont essentiellement demand un agrment pour le seul service de

rception/transmission dordres pour le compte de tiers. Quelques-uns ont galement
souhait tre autoriss effectuer les services dexcution dordres pour le compte de tiers
ou de placement. Dans ce dernier cas, une tendance semble se dgager allant vers la mise
en place dun accs aux marchs primaires obligataires ou actions grce Internet. Enfin,
un nombre rduit dentreprises a demand et obtenu une habilitation pour assurer la tenue
de compte-conservation;
certains intermdiaires agrs, visant le march de lInternet, ont opt pour une offre de
type discount broker, cest--dire des tarifs (gnralement forfaitaires) plus attractifs
que ceux jusqualors le plus frquemment pratiqus. Loffre de services dinvestissement
peut tre complte par un accs des donnes conomiques et financires en provenance
de fournisseurs dinformations connus. En revanche, dautres intermdiaires Internet
privilgient une offre de services plus large, associant par exemple plusieurs services
dinvestissement et la mise disposition danalyses financires, de forums ou doutils de
simulation, daide la dcision et la gestion de portefeuille;
un grand nombre dtablissements a retenu une organisation fonde sur un large appel
lexternalisation ou au dveloppement de partenariats avec dautres prestataires de services
dinvestissement ou informatiques.
91
En matire de dveloppement et de gestion financire prvisionnelle, certaines

constantes peuvent galement tre dgages:
-
tout dabord, sil est indniable que la nouvelle conomie a un potentiel de croissance trs
fort, lacquisition et la conservation de parts de march, notamment pour les nouveaux
entrants, restent difficiles valuer et risquent dtre dun cot croissant;
positionns sur un march trs concurrentiel, les prestataires de services dinvestissement

doivent donc tre connus et reconnus, ce qui exige de mettre en place une politique
mercatique et publicitaire aux moyens consquents et de sassurer de la qualit des services
technologiques utiliss (en termes de scurit, de facilit daccs, de rapidit de ralisation
des oprations financires, dadaptation lvolution des logiciels et des matriels, etc).
Ces spcificits des intermdiaires Internet se traduisent sur le plan financier par une
structure des charges o les frais gnraux (publicit et informatique) sont en gnral de
montants trs levs.
Les autorits dagrment sont amens sassurer que les tablissements disposent de
moyens financiers adapts la nature et au volume des activits envisages. En tout premier
lieu, les montants de capital minimum prvus par la rglementation doivent tre respects.
Ces minima varient selon le type de statut demand (35 MF pour les banques, 12,5 MF pour
les socits financires, de 0,5 MF 12,5 MF pour les entreprises dinvestissement en fonction
des services exercs). De plus, lactivit de teneur de compte-conservateur ncessite un capital
minimum de 25MF.
Dautre part, les autorits dagrment sassurent que le niveau de fonds propres permet
le respect des normes de gestion dfinies par le Comit de la rglementation bancaire et
financire.
Il a ainsi t constat que les projets dentreprises dinvestissement exerant par Internet
requerraient, dans la quasi totalit des cas, des moyens initiaux en capital largement suprieurs
au capital minimum rglementaire afin de respecter, notamment, la rgle imposant un rapport
minimal de 25% entre les fonds propres et les frais gnraux conformment la norme
europenne. En outre, le retour sur investissements ntant gnralement pas programm avant
la deuxime anne au plus tt, une mise de fonds initiale consquente apparat dautant plus
ncessaire.
Aussi les activits menes via Internet, lorsquelles ne sont pas dveloppes au sein de
groupes bancaires existants, sontelles proposes par des tablissements qui sappuient assez
frquemment sur un actionnariat diversifi, pouvant comprendre des personnes physiques
lorigine du projet, mais aussi des associs caractre institutionnel (bancaire ou financier)
ou issus dautres secteurs professionnels (de linformatique en particulier), ayant la capacit
dapporter le soutien financier ncessaire pour faire face lvolution des activits ou
dventuelles difficults.
Outre la vrification de cette possibilit de soutien financier qui peut tre formalise
par un engagement spcifique, les autorits dagrment sassurent galement que la qualit
92
des apporteurs de capitaux et lorganisation de lactionnariat favorisent la viabilit du projet.

Cette apprciation, qui sinscrit dans le cadre des missions confies aux autorits et qui sappuie
sur la doctrine progressivement tablie, doit notamment prendre en compte labsence
dexprience bancaire ou financire de certaines personnes morales associes dans le cas de
projets largement orients vers le support de lInternet.
Les critres dapprciation retenus par les autorits dagrment, qui reposent sur des
principes gnraux, restent bien adapts lexamen de projets sur Internet. Cependant, afin
de renforcer le diagnostic financier, il semble opportun de demander la ralisation systmatique
de scnarios de crise, qui doivent permettre dapprcier le niveau daversion au risque des
intervenants et plus fondamentalement leur assise financire sur un horizon de temps dtermin.
8. Etablissement de scnarios de crise pour apprcier la solidit de la structure financire
Sur les deux postes de charge sensibles constitus par les cots technologiques
-qui, sils sont mal matriss, peuvent gnrer des risques oprationnels, des risques
de march, des risques de rputation- et les cots publicitaires, il apparat souhaitable
que les tablissements laborent des scnarios de crise permettant :
-
dvaluer limpact sur le compte de rsultat dune chute de volumtrie du nombre

doprations, cause par exemple par un mouvement de dsaffection de la
clientle. La mise en uvre de provisionnements pour risques oprationnels
rsultant dune dfaillance technique ponctuelle peut tre envisage;
de tester le niveau de rsistance uneguerre publicitaire ou tarifaire. A titre

dexemple, des chutes spectaculaires de marge ont eu lieu aux tats-Unis et/ou
sont prvues sur les produits les plus banaliss.
7.2. Le suivi de la rentabilit

7.2.1.
Le contrle de la rentabilit des oprations et larticle 20 du rglement

n97-02 du Comit de la rglementation bancaire et financire
Cette disposition rglementaire trouve directement sappliquer aux oprations de

crdit sur Internet. Dans son esprit, elle peut tre tendue lensemble de lactivit Internet de
ltablissement.
Article 20
La slection des oprations de crdit doit galement tenir compte de leur rentabilit,
en sassurant que lanalyse prvisionnelle des charges et produits, directs et indirects, soit la
plus exhaustive possible et porte notamment sur les cots oprationnels et de financement,
sur la charge correspondant une estimation du risque de dfaut du bnficiaire au cours de
lopration de crdit et sur le cot de rmunration des fonds propres.
93
7.2.2.
Suivi de la rentabilit globale

9. Bonnes pratiques en matire de suivi de la rentabilit globale
Sont exposes ci-aprs des bonnes pratiques en matire de suivi de la

rentabilit globale. Ltablissement, en particulier en phase initiale de son activit,
value la rentabilit future de ses activits, sur la base dhypothses prudentes,
notamment sur le poste marketing et en suit la rentabilit effective. Les calculs
de rentabilit intgrent des scnarios de crise, couvrant lhypothse dune fuite
massive de la clientle.
La rentabilit devrait tre analyse sous langle:
-
dune nouvelle entreprise (y compris filiale spcialise de groupe): Internet est le centre
de lactivit, et, sagissant dune entreprise nouvelle ou en croissance, la question principale
porte sur les prvisions dactivit de ltablissement, qui conditionnent le dlai pour parvenir
la rentabilit;
dune extension dactivit dun tablissement ancien: dans ce cas, Internet est plutt un
canal complmentaire offert la clientle existante, et accessoirement le moyen de conqurir
des clients nouveaux. Le problme est plutt de distinguer, parmi les cots et les produits
de lactivit gnrale, lapport particulier de lactivit Internet.
Dans les deux cas toutefois, la rentabilit des fonds importants engags est une question
importante, voire cruciale. Elle doit tre considre comme stratgique et retenir lattention
de la direction de ltablissement. Les recommandations suivantes pourraient tre formules
cet gard.
Ltablissement devrait tenir compte, pour calculer la rentabilit effective et estimer la
rentabilit prvisionnelle de ses oprations par un canal automatis, de lensemble des lments
de cots et surtout de risques particuliers ce mode de communication, quil met en regard
des avantages et conomies attendues (le cot stratgique du dfaut de dveloppement de
lactivit doit tre valu). En particulier, la rentabilit calcule inclut:
-
les cots de dmarchage et de publicit;
le risque de fraude. Ltablissement doit prendre en compte la fois les dommages financiers
directs causs par la fraude et ses consquences en termes dimage.
Il est raisonnable de complter la rflexion par ltude de scnarios de crise, sur la base
dhypothses extrmes, impliquant des moyens importants pour rtablir la continuit de lentreprise
et sa crdibilit vis--vis de ses clients et partenaires. Les hypothses pourraient tre:
-
94
une attaque majeure du systme en vue de provoquer son indisponibilit et ruiner la

crdibilit technique de ltablissement;
un dfaut de conception entranant une dgradation inacceptable des performances du

systme face une pointe de charge, provoquant la fuite de la clientle et ncessitant des
travaux importants pour rtablir le niveau de service promis aux clients;
une campagne systmatique de dnigrement mene par des concurrents sur la base de
problmes techniques, rels ou imaginaires.
Les calculs de rentabilit prvisionnelle doivent dmontrer que ltablissement

disposerait dans ces situations extrmes des moyens permettant de financer les mesures de
rtablissement de la situation.
En parallle, ltablissement calcule la rentabilit des oprations par type doprations
et par catgories de clients, permettant de dterminer si les efforts mercatiques sont bien
orients et si la clientle dveloppe est optimale en termes de rentabilit.
Lorsquil intervient de manire distincte (notamment pour des clientles diffrentes)
sur plusieurs canaux de distribution (Internet + tlphone, voire agences), ltablissement
devrait suivre et anticiper la rentabilit de ses oprations en distinguant chaque canal, avec
pour objectif de tenir compte des cots spcifiques chacun deux, et des caractristiques des
clients qui lutilisent plus particulirement. Un suivi fin doit permettre notamment de connatre
la rentabilit de lextension de lactivit des populations nouvelles de clients.
95
8. La matrise des risques oprationnels

8.1. L intgration des activits Internet dans lorganisation du
contrle interne
Comme pour toute activit bancaire et financire, il est important que lactivit en
ligne soit fermement sous le contrle des organes de direction et des instances de contrle
interne de ltablissement, et le cas chant du groupe.
8.1.1.
Rle des organes excutif et dlibrant
Pralablement au lancement dun projet Internet, lorgane excutif devrait formaliser

sa stratgie dans un document valid par lorgane dlibrant. Celui-ci dtaille, en particulier,
le plan de dveloppement de lactivit, en termes de services offerts, de clientle, de volume
dactivit et de rentabilit, en tenant compte de manire exhaustive des facteurs de risques
techniques et commerciaux. Sur la base dhypothses prudentes, ltablissement valide le
montant des fonds propres requis pour assurer la prennit de lactivit, y compris dans le cas
dune situation de crise, technique ou commerciale. A tout le moins, trois types de risques de
crise doivent tre pris en compte: le risque commercial de forte chute du PNB; le risque
datteinte limage et la rputation de ltablissement suite un problme technique; le
risque technologique dinadaptation du systme face la croissance de lactivit.
10. Document relatif la matrise des risques de contrepartie, juridiques et techniques
Ltablissement devrait galement avoir mis par crit sa politique de matrise
des risques et lavoir fait valider par son organe dlibrant. Ce document prsente,
notamment, les principes retenus en matire de risques:
-
de contrepartie: critres de slection des clients, des contreparties et des marchs,

valuation et suivi du risque de crdit
juridiques: dfinition du niveau de risque jug acceptable en raison des

limitations de responsabilits inscrites dans les conventions tant avec les clients
quavec les prestataires et sous-traitants;
techniques: politique de scurit de ltablissement pour chacune de ses activits

mettant en jeu des systmes dinformation (scurit la fois physique et logique).
Le recours au guide dlaboration dune politique de scurit Internet du
Forum des comptences, prsent ci-aprs en annexe, est recommand.
Ce document doit tre actualis. Certaines informations peuvent cependant figurer

dans des rapports dont lobjet dpasse le strict cadre dInternet (politique gnrale de matrise
des risques de ltablissement par exemple).
Lorgane dlibrant de ltablissement doit disposer, sur une base au moins annuelle,
de documents de suivi prcis lui permettant dapprcier la rentabilit des activits de
96
ltablissement sur Internet, tant loccasion du lancement de lactivit quau moment de son
extension dautres services ou clientles.
Lorsque la dimension de lactivit Internet ne justifie pas un examen dtaill par lorgane
dlibrant de ltablissement, ces documents sont tout le moins valids par les instances appropries
(par exemple un comit de pilotage), bnficiant dune dlgation claire de lorgane excutif.
8.1.2.
Rle du responsable du contrle interne
Il devrait avoir un droit de regard et une responsabilit clairement tablis sur lactivit
Internet, en particulier lorsquelle est en tout ou partie externalise. Ce domaine fait partie
intgrante de son programme de contrle, y compris quand ces fonctions sont externalises. Il
intgre dans son rapport annuel une information sur la scurit de lactivit.
Lorsquil ne peut procder lui-mme aux contrles correspondants, il devrait sentourer
de comptences techniques. Cette comptence est lvidence acquise au niveau du responsable
de la scurit des systmes dinformation, mais il convient alors de prendre garde au principe
de sparation des tches, qui veut que les acteurs du contrle ne soient juges et parties.
8.1.3.
Coordination des projets Internet au sein de ltablissement ou du

groupe
La multiplicit des projets au sein dun mme tablissement, ou a fortiori dun groupe,
peut justifier quun responsable unique de la coordination soit nomm, rattach un niveau
de dcision suffisamment lev, et toujours du ct utilisateurs de ltablissement. Il est
utile que sa mission inclue, au del de la coordination du pilotage des diffrents projets, la
garantie que les exigences de ltablissement en matire de contrle interne sont bien prises
en compte par chaque projet. Son ordre de mission peut utilement formaliser, en ce sens, les
relations avec le responsable du contrle interne.
97
8.2. La scurit juridique

8.2.1.
Connaissance du cadre juridique de lactivit

11. Bonnes pratiques en matire de matrise du risque juridique
Des recommandations gnrales relatives la scurit juridique sont exposes

ci-dessous. En particulier, pralablement tout exercice de son activit dans un
nouveau pays ou avec des clients couverts par le droit de ce pays, ltablissement
procde ou fait procder une tude sur le cadre juridique des activits en ligne.
Cette tude sert de base la rdaction des conventions avec les clients, ainsi qu la
rdaction des procdures relatives aux contrles louverture de relations.
Ltablissement veille la scurit juridique de toutes les oprations engages avec
ou pour le compte de son client. Il sassure en particulier du caractre certain de son
consentement toute opration.
Pralablement tout exercice de son activit dans un nouveau pays ou avec des clients
couverts par le droit de ce pays, ltablissement procde ou fait procder une tude juridique
couvrant en particulier les questions suivantes:
-
le droit applicable aux services offerts et oprations effectues sur le site;
pour chaque produit, les rgles relatives lexercice de lactivit envisage (notamment
lobtention dun agrment). Lorsque le droit local prvoit des restrictions daccs de
certaines catgories de clients au produit en cause, ltude doit indiquer les mesures qui
doivent tre prises pour viter dentrer en relation avec eux sur ce produit (par exemple
disclaimer ou encore blocage daccs);
les rgles relatives la capacit des personnes effectuer des oprations bancaires et
financires (condition de majorit ou de capacit juridique, les conditions daccs au type
de service propos,);
les conditions de forme de la prestation de services envisage, notamment les conditions

dclaratives ou les obligations de vrification (consultation de fichiers dincidents par
exemple) louverture dun compte;
les rgimes spcifiques de protection des clients (droit de la consommation, rgles

applicables linformation des investisseurs,), et notamment les rgles dordre public
qui simposent aux parties;
le rgime fiscal;
les rgles dordre public applicables la preuve.
Cette tude sert de base la rdaction des conventions avec les clients, ainsi qu la
rdaction des procdures relatives aux contrles louverture de relations. Elle tient compte
98
de la nature du site envisag, en distinguant selon quil sagit dun site de simple information,
de proposition commerciale (concrtise par un autre canal) ou dun site transactionnel.
Lorsquil sollicite spcifiquement la clientle non rsidente dun tat dtermin,
ltablissement veille ce que les informations requises, le cas chant, par le droit local de
cet tat soient fournies sur son site Internet et les autres supports utiliss.
A contrario, ltablissement dtermine les pays pour les rsidents desquels, compte
tenu de lincertitude sur le droit applicable, les risques juridiques douverture de compte
apparaissent non matrisables. Il met en place sur son site les lments permettant de matriser
son risque (disclaimer par exemple). Il indique clairement les pays dont les rsidents ne peuvent
ouvrir de compte chez lui et informe les personnes consultant le site du droit applicable et des
juridictions comptentes.
8.2.2.
Les prestataires de services de certification (PSC)
La politique de certification est lensemble des procdures et rgles de scurit

appliques par une autorit de certification (ou exiges de ses prestataires) pour une catgorie
donne de certificats.
En effet, on peut avoir des politiques diffrentes pour des certificats destins des
transactions de nature diffrente: les exigences scuritaires au niveau de la fabrication et la
dlivrance des certificats seront renforces pour des changes dinformations sensibles (par
exemple en matire de dfense) ou des transactions de gros montant.
Les mtiers de la certification se segmentent autour de trois grandes composantes:
-
lautorit denregistrement : elle effectue la vrification dun certain nombre

dinformations concernant la personne demandant loctroi dun certificat de cl publique,
notamment son identit, et adresse un message normalis loprateur de certification
encapsulant ces informations ;
loprateur de certification : il fabrique le certificat de cl publique partir du message

envoy par lautorit denregistrement, le signe, en assure la publication, gre sa rvocation
ventuelle ;
lautorit de certification : cest le donneur dordre des prestataires prcdents, qui assume
la responsabilit finale vis--vis des tiers ; il dfinit la politique de certification, gre
ventuellement la marque associe son activit, les problmes dinteroprabilit, conserve
la cl secrte servant signer les certificats, etc.
Suivant les cas, certains des trois mtiers peuvent tre exercs par la mme entit. Les
politiques de certification comprennent notamment les exigences visant les autorits
denregistrement quant la documentation exigible du demandeur de certificat. Il y a autant
de politiques de certification que de catgories de certificats grs par des autorits de
certification. Il est impossible de dgager a priori des exigences qui seraient communment
99
admises, par exemple pour lidentification des demandeurs de certificats. Toutefois, des
exigences ou recommandations commencent apparatre:
-
Les exigences gouvernementales
Dans la politique de certification PC2 dicte par la Commission Interministrielle

pour la Scurit des Systmes dInformation pour les besoins de ladministration franaise,
on trouve pour les politiques dites niveau moyen et lev des spcifications prcises pour
lidentification des personnes physiques et morales. Par exemple, pour une socit anonyme,
il faut les informations suivantes: nom, raison sociale, adresse du sige social et numro de
tlphone, numro SIRET, extrait du registre du Commerce o la socit est enregistre,
composition et rpartition du capital de la socit.
Pour une personne physique, le nom, la fonction, ladresse, le numro de tlphone,
une fiche individuelle dtat civil et une pice didentit avec photosont les lments
ncessaires. En outre, le demandeur doit se prsenter en personne auprs de lautorit
denregistrement.
-
Les recommandations du CENB
Dans le Technical Report 402, le Comit Europen de Normalisation Bancaire fait un

certain nombre de recommandations aux banques qui souhaiteraient valuer les pratiques
dautorits de certification dont elles envisageraient de reconnatre les certificats pour leurs
propres besoins.
Le rapport prcise que, pour des applications faible risque, le demandeur na pas
ncessairement se prsenter en personne lenregistrement, (ce qui montre bien que les
proccupations de blanchiment taient trangres la rdaction du rapport, voir point 8.4.).
Pour les personnes physiques, la production dun document didentit valide du type
passeport ou permis de conduire est recommande; les informations conserves par lautorit
doivent contenir le nom complet, ladresse, la nationalit, et un numro didentification national
lorsque cest possible. Pour les entreprises individuelles, on ajoute ces informations le numro
identifiant lentreprise, son nom et son adresse. Pour les autres personnes morales, qui sont
enregistres par les Chambres de Commerce, linformation enregistre doit contenir le nom
de cette personne, son numro identifiant, le numro denregistrement, ladresse postale, et le
nom des dirigeants et membres du Conseil dadministration. Un extrait du registre de la
Chambre de Commerce doit tre fourni.
Lexamen des exemples prcdents montre que les banques pourraient exiger des
autorits de certification des modalits particulires didentification des demandeurs de
certificats avant daccepter dans le cadre de leurs applications en ligne les certificats mis.
-
Les bonnes pratiques
Sil est, en tout tat de cause, trop tt pour apprcier et mesurer les risques que prsente
lutilisation des certificats comme moyen didentification des clients en matire bancaire et
100
financire, sont dfinies ci-aprs un certain nombre de bonnes pratiques concernant la

dlivrance des certificats. Il est rappel quen tout tat de cause les tablissements restent
responsables de la vrification de lidentit des clients et sexposent aux sanctions disciplinaires
de la Commission bancaire sils ne respectent pas les obligations leur charge en la matire
(voir le point 8.4.1.4.).
12. Bonnes pratiques concernant la dlivrance des certificats
Ces bonnes pratiques seraient les suivantes:
-
la certification bancaire devrait faire lobjet dun standard europen ;
le PSC est accrdit;
un cadre contractuel clair devrait tre tabli entre le PSC et ltablissement. Ce

dernier doit pouvoir contrler les activits de son prestataire de services de
certification;
les pices justificatives de lidentit du client doivent tre envoyes

systmatiquement par le PSC ltablissement, qui en assure la conservation,
afin de contribuer la vrification de lidentit du client.
8.2.3.
Preuve et contrle
Dans le cadre des rgles applicables, tant sur la scurit de linformation quen matire
de piste daudit, ltablissement devrait sassurer que les lments de preuve vis--vis des
tiers sont conservs de manire scurise (disponibilit, confidentialit et caractre non
rfutable) et accessibles sans dlai (notamment en cas de conservation par un tiers).
Ltude juridique prcite indiquera notamment sous quelles conditions ces lments
de preuve peuvent tre conservs de manire dmatrialise.
Il est recommand aux tablissements de crdit et aux prestataires de services
dinvestissement de faire un inventaire des actes juridiques transmis par voie lectronique par
ltablissement ou par ses clients. Dans le cadre de cet inventaire, il convient de distinguer les
transactions soumises un formalisme crit ad validitatem, de celles qui ne le sont pas.
En effet, en ltat actuel des textes, lorsque lcrit-papier est une condition de la validit
mme de lacte, la conclusion dune transaction exclusivement par voie lectronique est exclue.
Ds lors, ce nest que lorsque lcrit est requis ad probationem que la question de
lutilisation dun procd fiable de signature lectronique peut se poser (signature simple,
signature avance ). Dans ce cas, la fiabilit de la signature intresse la scurit de la
transaction. Les tablissements sont invits valuer les risques quils prennent en nassurant
pas cette scurit notamment sagissant des transactions juges sensibles.
101
13. Le recours des prestataires de services de certification (PSC) accrdits

Dans ce cadre, il convient manifestement de privilgier le recours des PSC
accrdits. La directive signature lectronique prvoit en effet que les tats
membres peuvent instaurer des rgimes volontaires daccrditation des PSC, visant
amliorer le niveau de service offert (voir point 3.2. sur le droit de la preuve).
On peut sattendre ce que les conditions fixes par le dcret signature
lectronique et les normes en cours dlaboration visant les dispositifs de cration
de signature, les PSC et les certificats deviennent une rfrence, qui serait utilise
par le juge et/ou les experts en cas de litige. Sil convient de suivre attentivement
lvolution de la jurisprudence dans ce domaine, il est prudent de sappuyer sur des
prestataires de services de certification accrdits.
Il est rappel que les relations contractuelles avec des PSC externes
ltablissement de crdit ou au prestataire de services dinvestissement doivent faire
lobjet dune convention -comme pour tout autre prestataire externe- prcisant
notamment les modalits de contrle du PSC par ltablissement de crdit ou le
prestataire de services dinvestissement.
8.2.4.
Scurit juridique en cas de mise en relation
Dans le cas de portails relis aux sites dautres prestataires bancaires ou financiers, la
responsabilit du prestataire en cas de problme sur les services proposs devrait tre tudie et
matrise.
Ltablissement signe une convention avec chaque tablissement pour lequel il propose
un lien sur son site. Cette convention dcrit en dtail le partage des responsabilits quant aux
clients qui entreraient par cette voie en contact avec ltablissement li. Les deux tablissements
veillent informer clairement les personnes qui accdent au site de ce partage de responsabilits,
notamment en tablissant clairement que le client qui active le lien va tre mis en relation avec
un autre tablissement.
8.3. La matrise du systme dinformation et la scurit des

transactions
8.3.1.
Vrification au moment de lagrmentde la matrise du site web
8.3.1.1.
La matrise de la prestation externe
Les motivations traditionnelles de la prestation externe de certains services dans un

tablissement bancaire sont lies au recentrage sur les mtiers de base, la rduction des
cots ou encore la recherche dexpertises pointues.
Aujourdhui, lapparition de nouveaux canaux de distribution de produits bancaires
ou financiers en ligne semble encourager le recours la prestation externe. En effet, ces
102
nouveaux canaux de distribution requirent un positionnement rapide ainsi quun niveau

technologique et une ractivit maximale.
La prestation externe est susceptible de toucher la conception et la distribution dune
large gamme de produits bancaires alors que traditionnellement seules les oprations de
traitement semblaient tre concernes.
Les incitations lexternalisation de certains services proposs par Internet sont diverses.
Elles tiennent la recherche de lexpertise technologique, la ncessaire rapidit de
positionnement sur un march, la matrise des cots ou encore linadquation des services
de traitement des oprations conus lorigine pour dautres fonctionnalits moins exigeantes
(traitement batch plutt que temps rel).
Les services bancaires ou financiers sur Internet sont varis et couvrent :
-
la simple information sur lensemble des produits proposs par la banque, auquel cas il
nexiste pas ncessairement de lien entre les donnes de la banque et le serveur ;
la communication entre la banque et le client, lui permettant la consultation de comptes, la

ralisation doprations classiques, auquel cas il existe un lien avec la base de donnes de
la banque ;
le site transactionnel, ncessitant un lien avec les donnes clientle mais galement avec
des donnes de march sous forme dhistorique, de recherche, voire daide la dcision.
Ces services font lobjet de diffrents schmas dorganisation. Le mme tablissement

peut assurer lensemble des services requis, en ayant recours, le cas chant, un mandataire
pour en assurer la ralisation technique. Il peut galement travailler avec dautres prestataires
de services avec lesquels il demande ses clients de conclure des contrats spcifiques. Enfin,
une socit peut ne pas tre un prestataire habilit si elle agit comme mandataire exclusif dun
prestataire. Ce dernier schma a t utilis lors du lancement de nouvelles socits de courtage
en ligne avant quelles ne sollicitent un agrment.
Ainsi, selon le positionnement choisi par ltablissement, les consquences dune
externalisation sur la scurit des systmes dinformation ne seront pas identiques.
Acheter un service cl en main auprs dun prestataire externe permet tout le moins
de proposer un service la clientle en se positionnant immdiatement sur un secteur fortement
concurrentiel. En effet, lun des premiers facteurs de russite dun site bancaire ou financier
virtuel est la qualit du service en termes de disponibilit et de rapidit daccs et dexcution
des ordres.
En consquence, ltablissement doit tre capable de grer en temps rel et non plus en
diffr des volumes importants de transactions. Or, certains systmes nont pas t conus
pour le traitement en temps rel des informations ni pour des volumes de transactions
importants.
103
Le choix du prestataire externe devrait donc seffectuer sur la base de critres tels que:
-
lassise financire et le risque de dfaillance: ce risque est-il examin et valu

priodiquement?
les moyens de contrle du prestataire (exigence, notamment, dune clause daudit) ;
son exprience ;
la clart des responsabilits juridiques des conventions liant le prestataire externe et

ltablissement, en continuit dexploitation mais aussi en cas de liquidation du prestataire ;
la possibilit de se dsengager de ces accords, sous quel dlai et quels cots?
les plans de continuit des services offerts par le prestataire externe ;
le degr de transparence du prestataire permettant ltablissement contractant dvaluer

priodiquement les systmes de contrles internes propres au prestataire externe ;
le degr de scurit offert par le prestataire externe en termes de respect du secret

professionnel.
En parallle ltablissement devrait se poser les questions suivantes:
sur quel type de site ltablissement souhaite-t-il se positionner? De quelle technologie at-il besoin? Lexternalisation rpond-elle ce besoin? Est-elle compatible avec
larchitecture actuelle de son systme dinformation ?
cette architecture est-elle suffisamment souple ou modulaire pour en changer?
le degr de comptence technique du management est-il suffisant pour apprcier les

consquences de lexternalisation?
les besoins de la clientle font-ils lobjet dune bonne comprhension de la part du prestataire
externe, permettant quil ny ait pas daugmentation du risque de perte de clientle ou
simplement de risques transactionnels, voire de rputation (chiffrage du pourcentage de
clientle et de produit net bancaire susceptible dtre concern) ?
comment ltablissement va-t-il mesurer son degr de dpendance vis--vis du prestataire

externe et limplication du management est-elle suffisante pour permettre de rexaminer
priodiquement la question de savoir si la solution de la prestation externe est toujours
adapte aux besoins de ltablissement et si le choix du prestataire est pertinent: le choix
de la prestation externe doit pouvoir tre remis en cause globalement ou partiellement ;
peut-il y avoir des risques de dbordement du prestataire pouvant gnrer des risques
de perte de contrle oprationnel ?
104
de quelle autonomie dispose le prestataire?
sur quels domaines?
ces domaines pourraient-ils tre des domaines rglements?
le prestataire dispose-t-il du dispositif de contrle que ltablissement aurait lui-mme

exig si le dveloppement de ces prestations avait t ralis en interne et de quels moyens
ltablissement dispose-t-il pour les imposer?
les moyens de diffusion de linformation ou de la formation par le prestataire dans

ltablissement sont-ils jugs suffisants pour ne pas accrotre le degr de dpendance de
ltablissement vis--vis du prestataire ?
la dimension cot tant lune des sources de profitabilit et lun des lments sur lequel
ltablissement est susceptible de ragir pour sadapter la concurrence, ltablissement
devrait sassurer quil dispose en permanence de lensemble des informations lui permettant
dapprcier les diffrentes composantes du cot de son investissement ;
si des processus dexternalisation ont lieu auprs de diffrents prestataires, la direction

dispose-t-elle dune vision globale des risques encourus ?
dans le cas o le prestataire fournirait des services plusieurs clients simultanment, ce

prestataire a-t-il adapt le niveau de scurit de ses systmes de telle manire quun incident
touchant un client ne se rpercute pas sur les autres?
En ce qui concerne les autorits dagrment, la problmatique de lexternalisation peut

se rsumer de la manire suivante :
14. La matrise de la prestation externe (au moment de lagrment)
Lexternalisation entrane un risque de sparation des responsabilits
juridiques (restant ltablissement) et oprationnelles (chez le prestataire externe).
Les autorits dagrment devraient donc faire en sorte que ce risque soit minimal,
en demandant aux tablissements dexercer un contrle suffisant sur les activits de
leurs prestataires externes.
Par ailleurs, dans le cas o un prestataire fournit des services plusieurs tablissements,
les autorits sont amenes veiller ce que la concentration des risques oprationnels chez ce
prestataire ninduise pas un risque systmique trop important.
8.3.1.2.
Des exigences scuritaires plus pousses en matire dagrment
Les dispositions qui suivent concernent les nouveaux entrants sur le march. Sagissant
des entreprises dinvestissement ou des tablissements de crdit dj agrs, il est prvu au
point 2.2.1. dtablir une procdure de dclaration auprs de lautorit dagrment. loccasion
105
de cette dclaration, le CECEI examinerait pour les tablissements dj constitus si louverture

du site reste compatible avec les lments de bon fonctionnement de ltablissement apprcis
lors de son agrment.
8.3.1.2.1.
La dmarche questionnaire
En partant du constat que les services bancaires ou financiers sur Internet sont assez
typs : gestion de compte, virements, ordres de bourse, un questionnaire type a t labor,
portant la fois sur les aspects techniques et organisationnels de la scurit. Lobjectif nest
pas dobtenir une tude exhaustive de la scurit ou de valider les choix techniques dtaills,
mais de sassurer que le porteur de projet a pris en compte avec suffisamment de diligence les
aspects scuritaires.
15. Questionnaire scurit au moment de lagrment
- Description de larchitecture globale du systme dinformation (incluant ltablissement
et ses partenaires externes), avec schma des flux dinformations et des traitements
associs.
- Pour chaque entit de ce systme dinformation ainsi que chaque liaison entre entits,
quels sont les moyens techniques et organisationnels envisags afin de prvenir, dtecter
ou corriger des problmes scuritaires? (firewalls, dtecteurs dintrusions, outils de
dtection automatique de failles).
- Description des moyens de veille technologique concernant les dfauts scuritaires des
matriels / logiciels utiliss.
- Qui est charg de linstallation, de la configuration, de lvaluation, de la maintenance
des quipements ou logiciels de scurit ? (notamment des firewalls).
- Modalits du dpouillement et de lexploitation des pistes daudit.
- Description des moyens de secours envisags (redondance, back-up).
- En cas de dfaillance, en combien de temps les moyens de secours peuvent-ils tre
oprationnels?
- Description des mthodes de protection des communications (au regard de
lauthentification, lintgrit, la confidentialit, la non-rpudiation).
- Quels sont les outils utiliss ? (logiciels, tokens, cartes puce, ).
- Description des procdures de login (mots de passe, changes de cls, jetons de sessions, )
et des mesures de scurit associes.
- Comment sassure-t-on de la disponibilit des systmes ? moyens de supervision ? quelle
est la capacit en nombre de connexions simultanes / nombre dordres par heure ?
106
- Description des moyens humains (nombre, qualification, rpartition des fonctions)

affects la scurit et la surveillance des risques ?
- Scurit des e-mails ? (vis--vis en particulier du risque dintrusion et des aspects
authentification / intgrit / confidentialit).
- Moyens de scurit physique ? (des locaux, du matriel, ).
- Moyens techniques ou organisationnels mis en place pour prvenir le risque dattaque
ou de complicit interne lentreprise ?
- Liste des interventions passes ou prvues de cabinets de conseil externes lentreprise
concernant le systme dinformation (audits, hackers professionnels, conseil pour la
mise en uvre de systmes, ).
- Liste des prestataires externes oprationnels (exemple : teneur de compte, conservateur)
et description de leur exprience dans le domaine ; quelles sont les relations contractuelles,
le partage des responsabilits ? quels moyens / procdures de contrle lentreprise a-telle mis en place vis--vis des prestataires externes.
- Lentreprise a-t-elle souscrit une police dassurance concernant les risques oprationnels ?
si oui, description des garanties.
8.3.1.2.2.
La dmarche dexpression des objectifs de scurit
La dmarche expose au point prcdent, actuellement mise en oeuvre, pourrait, aprs

un retour dexprience suffisant, tre remplace par une dmarche plus systmatique consistant
demander que le dossier dagrment contienne les lments suivants:
(a)
expression des besoins de scurit: partir de la stratgie de lentreprise et des textes

rglementaires sappliquant elle, de la description de son environnement, etc;
(b)
liste des menaces: constitue partir de la liste des biens protger, elle devrait tre
pondre par lapprciation de la probabilit de la ralisation de chaque menace et par
lvaluation de ses consquences;
(c)
liste des objectifs de scurit, visant prvenir, dtecter et ventuellement contenir la

ralisation des menaces identifies;
(d)
et par ailleurs: description de lorganisation de ltablissement en matire de scurit

du systme dinformation: moyens, rattachement hirarchique du responsable, liens
avec le contrleur interne.
Lorsque larchitecture technique du systme dinformation de la socit est dj

dtermine, il sagirait de demander celle-ci de dcrire les mesures scuritaires permettant
107
de mettre en uvre au niveau des composantes de son systme dinformation les objectifs de
scuritet de se livrer une analyse des risques rsiduels.
8.3.1.2.3.
Impact dune certification scuritaire sur les dmarches prcdentes
Les tablissements pourraient faire certifier leurs sites web sur le plan scuritaire selon
un profil de protection (voir ce sujet le point 8.3.4). Une telle certification pourrait tre
prise en compte dans les dmarches exposes aux points prcdents en faisant alors bnficier
ltablissement concern dune prsomption de conformit pour la partie site web de son
systme dinformation.
8.3.2.
La matrise du systme dinformation
8.3.2.1.
Larticle 14 du rglement n97-02 du Comit de la rglementation bancaire et

financire
Le Livre blanc sur la scurit des systmes dinformation de la Commission bancaire

de 1996 avait anticip, en les dtaillant sous la forme de bonnes conduites, les modalits
dapplication de larticle 14 du rglement n 97-02 du Comit de la rglementation bancaire
et financire. Les grands principes de ce Livre blanc restent toujours dactualit.
Article 14
retenu et ce que leurs systmes dinformation soient adapts. Le contrle des systmes
dinformation doit notamment permettre:
a)
de sassurer que le niveau de scurit des systmes informatiques est priodiquement

apprci et que, le cas chant, les actions correctrices soient entreprises;
b)
de sassurer que les procdures de secours informatique sont disponibles afin dassurer
la continuit de lexploitation en cas de difficults graves dans le fonctionnement des
systmes informatiques.
Le contrle des systmes dinformation stend la conservation des informations et

la documentation relative aux analyses, la programmation et lexcution des traitements.
Plus peut-tre que pour toute activit bancaire et financire de base, la scurit est un
impratif lorsque celle-ci est lie un service en ligne. En effet, au-del des consquences
financires directes dun incident technique (panne, dysfonctionnement ou fraude), latteinte
limage de ltablissement pourrait, compte tenu de la volatilit probable de la clientle,
mettre en cause lexistence mme de certains acteurs du march.
108
16. La matrise du systme dinformation, que ce dernier soit externalis en tout ou

partie ou interne ltablissement
Sur le fondement de larticle 14 du rglement n 97-02 relatif au contrle
interne des tablissements de crdit sont exposes ci-aprs des recommandations
relatives la matrise des systmes dinformation. En particulier, ltablissement
devrait dmontrer quil matrise tous les aspects du systme dinformation utilis, y
compris lorsque celui-ci est confi un prestataire extrieur, que ce soit pour le
dveloppement comme pour lexploitation technique. Ltablissement devrait avoir
accs toute linformation sur les spcifications fonctionnelles et techniques du
systme, et dterminer librement le paramtrage. Il devrait vrifier que le systme,
quil soit interne ou externe, rpond en permanence ses exigences, la fois de
performance et de scurit (disponibilit, intgrit, confidentialit, audit et preuve).
Le libre accs des autorits de tutelle ou instances de contrle aux installations
externes devrait tre garanti par une clause contractuelle. Les relations avec les
prestataires externes devraient tre formalises dans des conventions claires et
prcises, en application de ces principes.
Les tablissements doivent en particulier disposer de garanties quant aux performances
et aux possibilits de redimensionnement du systme. Ils doivent galement stre assurs que
les mesures de protection contre les risques quils ont dfinies sont effectivement appliques
dans le systme.
Lexprience a montr que les tablissements peuvent externaliser de faon systmatique
leur activit sans pour autant disposer de moyens de contrle satisfaisants. LInternet a renforc
ce processus.
La rdaction actuelle de larticle 14 du rglement n 97-02 relatif au contrle interne
vise la matrise de lensemble du systme dinformation de ltablissement quil soit externalis
ou non : Les tablissements de crdit dterminent le niveau de scurit informatique jug
retenu et ce que leurs systmes dinformation soient adapts.
Pour plus de clart, lalina 1er de larticle 14 du rglement n 97-02 pourrait
prciser ce point. Modifi, il disposerait que:
retenu et ce que leurs systmes dinformation soient adapts, que ces derniers soient
externaliss en tout ou partie, ou internes ltablissement.
8.3.2.2.
Rgles gnrales
La politique de scurit de ltablissement (voir le point 8.1.1 relatif au rle des organes
excutif et dlibrant), pour son volet technique, devrait tre dtaille dans des documents
109
dcrivant la manire dont ses principes sont mis en application dans le systme dinformation.
Le Guide politique de scurit Internet du Forum des comptences, en annexe, prsente
une trame pour llaboration dune telle politique.
Les dirigeants ou dfaut leurs reprsentants pour le domaine technique, devraient
connatre les fonctionnalits des systmes dinformation utiliss par ltablissement. Ils
dmontrent que lorganisation mise en place en interne a permis la validation par les utilisateurs
des spcifications dtailles de ces systmes (notamment du point de vue de la gestion des
risques et de la scurit) un niveau adquat.
Ltablissement est en mesure de vrifier la validit permanente des paramtres,
calculs et algorithmes utiliss par le dispositif pour filtrer les oprations de sa clientle ainsi
que leur conformit aux rgles de gestion inscrites dans les procdures internes. En particulier,
il apparat ncessaire quil dispose, non seulement de la documentation technique, opratoire,
fonctionnelle et de maintenance, relative au logiciel, mais galement quil ait, parmi son
personnel, un nombre suffisant dagents ayant la comptence ncessaire pour qu tout
moment de la plage dexploitation, lun deux ait la matrise des donnes et du paramtrage
externe. En cas de dfaillance de lditeur du logiciel, ltablissement doit avoir pris les
mesures pour sassurer de la matrise des sources. Dune manire gnrale, le recours une
socit de dveloppement externe, lachat dun progiciel, voire lexternalisation des
prestations ne doit pas faire obstacle la matrise par ltablissement du produit quil met
en uvre et dont il assume la responsabilit, tant vis--vis de ses clients que des autorits de
tutelle et de contrle. Il importe, en particulier, que les conventions dachat ou de mise
disposition du logiciel prvoient, pour ltablissement, la possibilit daccder aux donnes
techniques ncessaires cette matrise.
Le responsable du contrle interne doit disposer de moyens lui permettant de vrifier
le respect de la politique de scurit, en particulier pour le contrle des prestataires
extrieurs. Il est destinataire des informations adquates sur les performances du systme
au regard du dveloppement de lactivit ainsi que de rapports sur les incidents techniques,
selon les orientations prescrites par la politique de scurit Internet. Il synthtise ces
observations, lintention de la direction gnrale, en particulier loccasion du rapport
annuel sur le contrle interne.
8.3.2.3.
Les relations avec les prestataires de services et sous-traitants
Avant de commencer ses activits, ltablissement devrait signer une convention avec
chacun de ses prestataires et sous-traitants.
Cette convention prvoit les engagements techniques de chaque prestataire. Elle indique
notamment le niveau de qualit de service sur lequel il sengage (dfini de manire prcise et
mesurable) et les cas de force majeure o cet engagement est rduit ou suspendu. En cas de
panne, la convention prvoit le dlai maximum garanti dindisponibilit du service ou, dans
les cas o une telle garantie est exclue, les moyens que le prestataire sengage mettre en
uvre pour rsoudre la difficult.
110
Dans le cas dun prestataire charg du dveloppement dapplications ou doutils systme,

la convention prvoit, dans la mesure du possible:
-
laccs sans restriction de ltablissement toute information utile la matrise du systme,

de nature technique ou fonctionnelle sur les produits ou services mis sa disposition.
Ltablissement doit en particulier avoir accs lintgralit de la documentation technique
et fonctionnelle des applications, objet du contrat;
le plafond de capacit de lapplication ou de loutil systme, notamment en volumes de

charge;
les dlais ncessaires pour lextension de cette capacit, et la limite ultime laquelle celleci est soumise;
les garanties financires lappui de ces engagements;
un dlai de pravis pour le retrait du prestataire du support de son produit.
La convention prvoit par ailleurs les moyens de contrle mis par le prestataire la
disposition de ltablissement pour garantir la mise en uvre de ses engagements, et la mise
disposition sans restriction de toutes les informations qui pourraient tre demandes par les
autorits de contrle, ainsi que la possibilit pour celles-ci de procder toute vrification
juge utile dans les locaux du prestataire.
Enfin, la convention doit dterminer sans ambigut les droits sur tout lment logiciel
utilis par ltablissement, en particulier la facult ou non de les commercialiser auprs dautres
tablissements.
8.3.2.4.
La disponibilit
Ltablissement devrait sassurer que les dispositifs de secours sont en place pour garantir le niveau de disponibilit dfini dans sa politique de scurit (en termes de limites
dindisponibilit et de dlai maximum de remise en production aprs une panne). Ces dispositifs sont rgulirement tests.
En outre, ltablissement dispose de procdures lui permettant de faire face aux situations dindisponibilit du service en cas de force majeure. Ces procdures reposent sur des
moyens soit internes, soit externes, auxquels il peut tre fait appel en cas de besoin dans des
conditions de dlai et de niveau de services prdfinis.
Ltablissement sassure de la disponibilit en toutes circonstances dune copie de toute
donne qui peut tre requise par un client, par une entreprise de march ou par les autorits de
place. Il met en place les sauvegardes ncessaires.
111
8.3.2.5.
Lintgrit et la confidentialit de linformation
Ltablissement devrait sassurer que la protection de lintgrit et de la confidentialit

sont conformes tant aux principes de sa politique de scurit quaux engagements pris vis-vis des tiers. Ce contrle porte la fois sur les flux dinformations et sur les donnes conserves.
Il veille en particulier assurer la scurit des moyens dauthentification (mots de
passe) transmis aux clients ou utiliss par eux.
Ltablissement vrifie que la scurit est suffisante quelles que soient les conditions
de conservation des donnes, des fins de secours ou darchivage, en particulier lorsquelles
sont externalises. Ltablissement veille obtenir de ses prestataires les engagements
ncessaires ainsi que lautorisation de mener sur ce point toutes les vrifications utiles.
8.3.2.6.
Les performances du systme dinformation
Ltablissement devrait dmontrer que son systme respecte tout moment (sauf cas
de force majeure prvue dans les conventions) les engagements de performance pris lgard
des clients. Il dmontre que le systme de suivi des risques et des engagements, quil soit
manuel ou automatis, fonctionne en toutes circonstances, mme en pointe de charge.
La rapidit du sous-systme de vrification de provision du client est critique (en
particulier pour des activits de courtage boursier en ligne). Une dure trop longue de contrle
ne doit pas conduire les clients faire pression pour en obtenir le dbrayage.
Ltablissement sassure que les possibilits, notamment en dlais, de
redimensionnement des systmes en cas de croissance imprvue des volumes traiter sont
cohrentes avec les engagements de qualit de service pris lgard des clients.
8.3.2.7.
Preuve/contrleet piste daudit
Ltablissement devrait sassurer quune trace de tout vnement sensible est conserve,
sur un support qui garantit sa confidentialit, et surtout son intgrit et son exploitabilit,
notamment par les contrleurs. La liste des vnements sensibles est tablie dans la politique
de scurit. Elle comprend, notamment, en fonction de la nature de lactivit :
-
toute cration, modification ou suppression de client;
toute opration financire ou ayant des consquences financires;
toute acceptation de franchissement de limite par un client;
toute cration, modification ou suppression de privilges ou droits daccs au systme;
toute intervention sur le dispositif de filtrage des oprations des clients, notamment en vue
de le dbrayer.
112
Les rgles de scurit prvoient galement les mesures dinformation sur ces vnements
(modalits de communication, donnes rapportes, priodicit) des dirigeants (ou des personnes
quils ont dsignes cette fin) et du responsable du contrle interne.
Ltablissement conserve galement le maximum dlments sur les transactions
effectues en ligne (en particulier, les ordres reus des clients). Ces informations doivent tre
mentionnes dans la convention signe avec eux au regard du respect des dispositions de la loi
n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts. Il conserve
notamment les lments permettant didentifier le cheminement suivi par lordre pour lui
parvenir. En outre, il assure au client un droit daccs et de modification des donnes le
concernant.
8.3.2.8.
Les rapports sur le contrle interne et sur la mesure et la surveillance des risques
Limportance des aspects relatifs la scurit de linformation justifie que ces questions
soient traites en dtail dans les rapports annuels sur le contrle interne, notamment pour tenir
compte des adaptations permanentes des systmes dinformation pour les maintenir au meilleur
niveau technologique.
Il sagit de rappeler ici la teneur de larticle 42 du rglement n 97-02 relatif au contrle
interne, qui dispose que le rapport annuel sur le contrle interne comprend notamment :
-
Une description des modifications significatives ralises dans le domaine du contrle

interne au cours de la priode sous revue, en particulier pour prendre en compte lvolution
de lactivit et des risques;
une description des conditions dapplication des procdures mises en place pour les
nouvelles activits.
Conformment lanalyse du point 2.2.1. (louverture dun service par Internet

constituerait un lment notable du mode de fourniture des services, modifiant les conditions
dexercice de lactivit bancaire ou financire), les mesures prises au titre du contrle interne en
matire de services bancaires ou financiers en ligne devraient tre tout particulirement dtailles.
En outre, sagissant du rapport sur la mesure et la surveillance des risques viss
larticle 43 du rglement n 97-02 relatif au contrle interne, il est rappel que les risques lis
la scurit des systmes dinformation devraient faire lobjet de dveloppements particuliers.
8.3.3.
Exemple dinfrastructure de scurit, utilisant la cryptographie

asymtrique
Une infrastructure cls publiques est compose au minimum dune autorit de

certification, des outils ncessaires aux fonctions dautorits denregistrement et dun dispositif
technique de production de certificats. Lanalyse qui suit porte sur les infrastructures cls
publiques, sachant que le champ couvert par la directive signature lectronique ne se limite
pas, en thorie, cette technologie.
113
8.3.3.1.
Conditions pour pouvoir bnficier de la prsomption de fiabilit
Au point 5.3. ont t mentionns les besoins de scurit des transactions bancaires et
financires en ligne. Le point 3.2. expose, quant lui, le droit de la preuve et les notions de
signature lectronique simple et avance.
Rappelons qu lheure actuelle, la plupart des solutions utilises par les fournisseurs
de services bancaires ou financiers en ligne pour leurs relations avec les particuliers (et dans
certains cas les professionnels) ne permettent pas de garantir la non-rpudiation10 , dans la
mesure o les secrets (code confidentiel, cl prive) confis au client sont stocks ou transitent
en clair dans son PC qui constitue un environnement vulnrable aux attaques depuis le rseau
(chevaux de Troie et virus). Il sagit de noter que dans le domaine du B to C, la solution
Cyber-Comm utilisant un lecteur scuris de carte puce permet dassurer la non-rpudiation
des paiements par cartes bancaires sur Internet.
Daprs larticle 1316-4 du code civil, prcis par le dcret signature lectronique,
il faudra dmontrer pour pouvoir bnficier de la prsomption de fiabilit :
-
le respect des conditions fixes au dispositif de cration de signature utilis, respect qui
sera prsum notamment dans le cas o ce dispositif aura t certifi ;
le respect des conditions fixes larticle 6 pour le certificat utilis et le PSC qui la fourni.
Ces conditions sont difficilement remplies par des dispositifs de cration de signature
sous environnement PC. En effet, le dispositif devrait garantir que les donnes utilises pour
la cration de la signature, cest dire les cls, puissent tre protges de manire fiable par le
signataire lgitime contre leur utilisation par des tiers. Il reste que la confidentialit de donnes
stockes dans un environnement PC nest gure assure. De mme, alors que le dispositif ne
doit pas modifier les donnes signer, on ne peut en avoir la certitude dans un environnement
PC permable aux virus et chevaux de Troie.
8.3.3.2.
Exemple de mise en uvre dune infrastructure cls publiques
Est expos ci-aprs un exemple simplifi dinfrastructure tablissement/client o

ltablissement assure le rle dautorit denregistrement et de certification et fait appel
un tiers de confiance externe pour oprer la certification.
La combinatoire autorit de certification/autorit denregistrement peut tre trs variable.
Chaque tablissement devrait tudier les options les mieux adaptes ses contraintes (nombre
de certificats, cots, contraintes juridiques).
On notera que cet exemple offre un haut niveau de scurit par comparaison avec les
pratiques moyennes actuelles (avec notamment une authentification forte au moyen dune
carte puce), mais ne garantit toutefois pas totalement lintgrit des donnes puisque avant
dtre signes, celles-ci transitent sur le PC de lutilisateur qui, comme on la vu ci-dessus, ne
peut pas tre considr comme totalement sr.
10) Impossibilit pour lutilisateur ou le prestataire de nier quil est lauteur de la transaction et que celle-ci existe bien.
114
8.3.3.2.1.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Un client fait une demande dobtention de carte puce afin daccder aux services
en ligne scuriss, proposs par ltablissement de crdit ou le prestataire de services
dinvestissement.
Ltablissement rcupre et vrifie les informations concernant le client. Il joue donc le
rle dautorit denregistrement.
Une carte puce vierge est affecte un client. A linitiative de ltablissement, la carte
puce gnre une bi-cl et la mmorise.
Les informations concernant le client ainsi que la cl publique gnre par la carte sont
transmises au tiers de confiance pour obtenir un certificat.
Le tiers de confiance produit le certificat et le signe avec une cl prive.
Le certificat est retourn ltablissement qui le stocke sur la carte puce ainsi que
dans son annuaire dentreprise.
La carte puce est personnalise et est transmise au client.
rception de la carte puce, le client modifie le code PIN permettant daccder la
cl prive stocke sur la carte.
Le client demande ltablissement de valider son accs aux services en ligne souhaits.
8.3.3.2.2.
1.
2.
3.
4.
5.
6.
7.
6.
Une procdure dauthentification
Le client souhaite accder un service en ligne de ltablissement.

Le client se connecte (via une liaison scurise) sur le site de ltablissement et sollicite
une authentification.
Le navigateur invite le client introduire sa carte puce dans le lecteur de carte et
saisir son code PIN (suppos correct).
Le lecteur de carte tablit la signature lectronique de la demande de connexion.
Le navigateur envoie la demande de connexion ainsi que la signature.
Le serveur de ltablissement vrifie, dune part, la signature de la demande de connexion
partir du certificat stock dans lannuaire dentreprise et, dautre part, sassure que le
certificat nest pas rvoqu.
Si le processus se droule normalement, le client accde au service de la banque.
8.3.3.2.3.
1.
2.
3.
4.
5.
Une procdure dobtention de certificat et de stockage sur carte puce
Une procdure de signature lectronique
Le client valide une transaction dont lensemble des lments est rsum dans une page.
Le navigateur invite le client saisir son code PIN (suppos correct).
Le lecteur de carte tablit la signature lectronique des lments de la transaction.
Le navigateur envoie la transaction accompagne de la signature.
Ltablissement contrle la transaction en vrifiant notamment la signature (suppose
correcte).
Ltablissement envoie au client une page de confirmation incluant tous les lments de
la transaction.
115
8.3.3.2.4.
Une organisation
Seule une analyse de vulnrabilit mthodique pourra mettre en exergue ou confirmer

les dtails de lorganisation requise pour grer les technologies envisages. Cependant, on
peut dj dgager des ples incontournables.
8.3.3.2.4.1. Gestion des utilisateurs finaux
Miser sur une logistique externe de certificats ne signifie pas que ltablissement ne
simpliquera pas dans ce quon appelle lenrlement. Lattribution dun certificat, dot de
proprits particulires, relve de la volont de ltablissement. Il en est de mme pour la
spcification des critres dattribution, de reconduite, de rvocation, de suspension de certificats.
Une mauvaise organisation sera visible de lextrieur et prjudiciable la scurit du
systme dinformation.
Les cas particuliers dutilisation du systme par la clientle devront tre pris en compte:
utilisateurs backups, dparts en congs de longue dure (maternit, maladie, congs
sabbatiques) et devront tre traits dune manire suffisamment ractive pour que lentreprise
cliente ne soit pas tente de dvoyer le systme (confier le code PIN de la carte puce un tiers, etc).
8.3.3.2.4.2. Loprateur de confiance
La description du rle prcis de loprateur de confiance et de ltablissement de crdit

ou le prestataire de services dinvestissement ne devra souffrir aucune approximation.
8.3.3.2.4.3. La gnration des certificats
La non-rpudiation sera lourde de consquences dans ce domaine. Lorganisation et

les moyens techniques devront faire en sorte que, dune manire absolument incontestable,
ltablissement de crdit ou le prestataire de services dinvestissement ne puissent avoir
connaissance de la cl prive du client.
8.3.3.2.4.4. La gestion de larchivage
Il ne faut pas ngliger limportance dune bonne gestion de larchivage. Celui-ci pose
le problme de la conservation, dans le temps, des modes de preuve et demande une tude
approfondie.
8.3.3.2.4.5. La protection de la cl prive
Lutilisation de la carte puce procure un standard trs lev de scurit pour protger
physiquement une cl prive.
Dans le cas dune solution moins scurise o la cl prive est conserve sur le disque
dur, des moyens de contrle daccs doivent tre notamment utiliss. En cas de copie des
fichiers didentification numrique et des cls secrtes dun ordinateur lautre, un mot de
passe scuris doit tre utilis.
116
8.3.4.
La matrise du risque de rputation, qui peut se propager lensemble

de la communaut bancaire et financire, plaiderait en faveur de la
mise en place dun rfrentiel de scurit qui serve de fondement
une certification, voire une labellisation des sites web financiers
De graves dysfonctionnements rencontrs par un service bancaire en ligne peuvent

susciter de la part de la clientle une perte de confiance et, par propagation, porter prjudice
lensemble de la communaut bancaire.
17. La dfinition au sein du Comit franais dorganisation et de normalisation
bancaire (CFONB) dun profil de protection , rfrentiel de scurit de place
Un tablissement noffrant pas de bonnes garanties de scurit ferait courir
un risque dimage pour la place toute entire. La vocation premire dun rfrentiel
de scurit applicable ce niveau serait donc de garantir, de faon publique, la
conformit du dispositif de scurit adopt par un tablissement, en regard dun
ensemble de critres constituant une cible de scurit communautaire.
La dfinition dun tel rfrentiel de scurit a motiv la saisine du Comit
franais dorganisation et de normalisation bancaire (CFONB) par le Secrtariat
gnral de la Commission bancaire, afin que soit labor un profil de protection
(PP) adapt aux risques des sites web financiers transactionnels susceptible de
dboucher terme sur un processus de certification.
Dnomm profil de protection, ce rfrentiel de scurit, de nature fonctionnelle
et modulaire, doit conserver un caractre souple et tre, dans la mesure du possible, neutre
technologiquement. De nombreux profils de protection11 existent dj et leur utilisation, en
plein dveloppement, est vivement encourage par la Commission europenne.
Un des points fondamentaux est que la dfinition dun rfrentiel de scurit devrait
sinscrire dans le cadre des Critres communs fixs au plan international, afin de dboucher
sur des certifications pouvant faire lobjet de reconnaissance mutuelle entre tous les tats
signataires. Dans ces pays, une autorit publique (en France la DCSSI)12 est charge de prsider
la certification sur des bases communes.
La certification devrait ainsi avoir pour objet de garantir le niveau de scurit offert
par tout site soumis lobligation dagrment, non seulement aux yeux des autorits de contrle
franaises, mais aussi trangres en raison de la vocation internationale croissante des services
bancaires en ligne. En tant que standard international, les Critres communs simposeraient
alors immdiatement comme une rfrence oblige pour une recherche de reconnaissance
mutuelle entre diffrents pays du (ou des) futur(s) PP susceptible(s) dtre dfini(s).
11) titre dexemple, il existe des profils de protection pour les sites web institutionnels gouvernementaux, les lecteurs transactionnels
avec carte puce (cyber-Comm), les DAB, les firewalls exigences leves et rduites, le porte-monnaie lectronique
12) La Direction centrale de la scurit des systmes d information est une direction dpendant des services du Premier ministre (Secrtariat
gnral de la dfense nationale). 14 pays sont parties aux Critres communs: Allemagne, Australie, Nouvelle-Zlande, Canada, Espagne,
tats-Unis, Finlande, France, Grce, Italie, Pays-Bas, Norvge, Royaume-Uni et Sude. Dans chacun de ces pays existe une structure
semblable la DCSSI: Allemagne (BSI), R.-U. (CESG), Australie (DSD), Canada (CSE), tats-Unis (NIST/NSA)...
117
8.3.4.1.
La vocation prudentielle du profil de protection
8.3.4.1.1.
Rfrentiel de scurit pour lagrment de nouveaux entrants
Lagrment (au sens de la loi bancaire et de la loi de modernisation des activits

financires) de nouveaux entrants souhaitant exercer leurs activits via Internet passe
actuellement par la constitution dun dossier comportant un questionnaire spcifique Internet
(voir point 8.3.1.1.1).
La certification vis--vis dun rfrentiel reconnu pourrait tre prise en compte dans
lexamen du dossier du porteur de projet en faisant bnficier celui-ci dune prsomption de
conformit aux demandes des autorits dagrment pour la partie site web de son systme
dinformation.
8.3.4.1.2.
Rfrentiel pour le contrle permanent de la scurit des systmes dinformation
La certification sur le fondement de ce PP rpondrait, en partie, aux exigences

prudentielles poses par lalina 1er de larticle 14 du rglement n 97-02 du Comit de la
rglementation bancaire et financire qui dispose que:
retenu et ce que leurs systmes dinformation soient adapts .
A ce titre, la certification ne constituerait quun lment complmentaire intgr au
dispositif global de scurit, lequel doit rester sous lentire matrise de la direction gnrale
de ltablissement.
8.3.4.1.3.
Ce profil de protection devrait rpondre aux recommandations du Comit de Ble
La vocation internationale du PP implique en effet que les exigences de scurit

sappuient sur des normes ou des recommandations internationales. Il est convenu en
consquence de prendre en compte les recommandations relatives la scurit des banques
lectroniques, qui seront mises, au premier semestre 2001, lissue des travaux en cours au
sein du groupe Electronic banking du Comit de Ble sur le contrle bancaire. Ces
recommandations devraient couvrir les exigences spcifiques en matire de Disponibilit,
Intgrit, Confidentialit et Preuve et encourager la mise en place de dispositifs permettant
la non-rpudiation. La question dinclure ou non la spcification du poste client est cependant
pose, sagissant de couvrir la scurit des transactions et la non-rpudiation.
8.3.4.1.4.
et faciliter ainsi les dmarches des tablissements pour obtenir un agrment

dans les juridictions hors espace conomique europen.
La certification par rapport ce rfrentiel, reconnu internationalement en raison du

standard choisi, devrait servir de garantie pour les autorits de contrle trangres quant au
niveau de scurit des sites des tablissements concerns (banques lectroniques) qui
dsireraient fournir des services dans leurs juridictions.
118
18. La dimension internationale du profil de protection

Il serait donc de lintrt des tablissements de pouvoir bnficier dune
certification conforme aux Critres communs, lorsquils souhaitent fournir des
services au del de lUnion europenne, selon un rfrentiel rpondant aux
recommandations du Comit de Ble sur le contrle bancaire relatives la matrise
des risques encourus par les banques lectroniques, qui seront adoptes au courant
du premier semestre 2001. Les reprsentants de la France sont dailleurs intervenus
en ce sens au sein du groupe Electronic banking du Comit de Ble.
8.3.4.2.
La mise en place ventuelle dune labellisation
Certains besoins scuritaires, au-del de la cible dvaluation qui sera adopte pour le
PP, pourraient tre jugs importants par les tablissements. La rponse se situerait dans une
labellisation complmentaire permettant de garantir la qualit du site concern, notamment en
regard des critres juridiques devant entourer la relation commerciale sur un plan bilatral.
19. La labellisation des sites
La cration dun label englobant ces aspects rpondrait ainsi lobjectif
doffrir une assurance supplmentaire de lgitimit aux clients, tout en constituant
un argument commercial pour les tablissements qui ladopteraient. Par ailleurs,
des rflexions supplmentaires devraient tre menes afin de permettre une gradation
des labels, qui selon les diverses exigences de scurit couvertes, sont par nature
diffrents. Il est jug souhaitable que le label, instrument destin matriser le risque
dimage, soit dfini au sein des organisations professionnelles.
8.3.4.3.
Le choix dune approche modulaire: la dfinition de plusieurs profils de protection
La dfinition de profils de protection sincrirait dans une approche modulaire et

progressive. Il est propos de dfinir un PP site web financiertransactionnel de base. ce
titre, le primtre du PP serait linfrastructure daccs Internet, dfinie par le Guide politique
de scurit Internet du Forum des comptences, annex au prsent Livre blanc (partie 2, point
3.1. et suivants du Guide). Linfrastructure daccs Internet est lensemble des points daccs
Internet, zones dinterconnexion entre le rseau public (Internet) et les quipements frontaux du
site.
La cible de scurit de ce profil de protection serait de sassurer que des rponses
satisfaisantes et adaptes lvaluation par ltablissement de ses risques soient apportes
aux menaces susceptibles de porter prjudice aux utilisateurs, aux menaces portant sur le
fonctionnement des services et aux menaces susceptibles de porter atteinte aux clients et
aux services.
Des profils particuliers pourraient tre dfinis pour couvrir les spcificits des diffrents
services bancaires et financiers transactionnels : services de gestion de compte et de moyens
de paiement, courtage en ligne et gestion de portefeuille, et oprations de crdit en ligne.
119
Des rponses aux menaces susceptibles de porter prjudice aux utilisateurs
Latteinte la vie prive (coute, conservation illicite dinformations personnelles),
lusurpation didentit dun utilisateur autoris,
la rpudiation pour les transactions juges sensibles par ltablissement,
la perte dintgrit des flux dinformation, et du poste client le cas chant.
Des rponses aux menaces pesant sur le fonctionnement du service
La permanence de la disponibilit des systmes doit tre au cur des proccupations des
responsables. Cest ainsi quen raison des menaces spcifiques de lInternet, notamment
en matire de dni de service, la fiabilit des systmes de secours (back-up) doit tre
particulirement renforce,
la rpudiation,
la matrise des risques dintrusion (accs illicite, contournement du contrle daccs,

modification des rgles),
lusurpation de lidentit des exploitants du systme,
la perte dintgrit,
les fraudes et malversations internes reprsentent les menaces les plus consquentes. La
mise en place conjointe de mesures assurant un contrle efficace des accs, ainsi que de
modalits dattribution des autorisations rellement discriminantes, est seule de nature
juguler ce risque.
Des rponses aux menaces susceptibles de porter atteinte la fois au service et aux clients
Le risque de dtournement de sites (web spoofing), qui consiste substituer des sites
officiels, et parfaitement honorables, des services dont le moindre effet est de nuire
limage des premiers, et lextrme de fonder un systme de fraude engageant leur
responsabilit, faute de preuves contraires suffisantes,
le formalisme des contrats bancaires et financiers, les contrats lectroniques devant sadapter
aux exigences formelles de lcrit-papier, et les modalits darchivage.
Ces dernires exigences devraient tre particulirement analyses sous un angle la

fois juridique et technique et devraient faire lobjet, de la part du CFONB, de travaux
complmentaires pour chacun des services financiers considrs: services de gestion de
compte et de moyens de paiement, courtage en ligne et gestion de portefeuille, et oprations
de crdit en ligne.
120
8.3.4.4.
Modalits de la certification
8.3.4.4.1.
La dmarche de certification
La dmarche de certification, sur le fondement du PP, pourrait sinscrire dans le cadre

du Schma national dvaluation et de certification de la scurit des technologies de
linformation13 , qui prcise le contexte rglementaire et lorganisation ncessaire la conduite
dune valuation par une tierce partie et son contrle, conduisant la dlivrance de certificats.
Lvaluation selon les Critres communs exige le recours un Centre dvaluation de la
scurit des technologies de linformation (CESTI), accrdit par la DCSSI pour mener la
certification. Une fois lvaluation acheve, il reviendra la DCSSI de dlivrer un certificat
susceptible dtre reconnu au niveau international.
8.3.4.4.2.
Possibilit doffrir des fonctionnalits plus larges que celles qui sont dcrites dans
le profil de protection
Cest dans sa cible de scurit que le commanditaire de lvaluation explique quelles

sont les fonctions offertes par son produit ou son systme, en plus de celles qui sont prvues
dans le profil de protection. Il devrait aussi expliquer, le cas chant, quels sont les besoins de
scurit supplmentaires qui dcoulent de lajout de ces nouvelles fonctions.
La cible de scurit retenue par le commanditaire pourrait aller au-del de lexpression
dune simple conformit au profil de protection. Il sagirait dans ce cas de faire valuer un
certain nombre de fonctions scuritaires supplmentaires travers son produit et/ou son systme.
8.3.4.4.3.
Cas dune modification du produit ou du systme
La technologie relative aux sites Internet tant en perptuelle volution, un certificat

ne peut avoir de priode de validit fixe. Cela impliquerait que soit mis en place un mcanisme
de maintenance assorti dune procdure dvaluation des consquences scuritaires des
changements intgrer dans le temps.
8.3.4.4.4.
Cot dune valuation selon les Critres communs
Le processus de certification impliquant les CESTI et la DCSSI requiert:

-
Un investissement initial (formation des responsables techniques / scurit aux Critres

communs) que devra fournir ltablissement qui na jamais men bien ce type dvaluation.
Un cot externe li la prestation du laboratoire dvaluation. Ce cot dpend des moyens

humains et des quipements qui sont mis en uvre. Il est donc largement proportionnel
la complexit du produit ou du systme valu, ainsi quau niveau dassurance requis en
matire de scurit.
13) Le Schma dfinit lorganisation ncessaire la conduite des valuations de scurit dans les meilleures conditions de cot, defficacit
et dimpartialit. La DCSSI, dans son rle dorganisme de certification, agre et contrle les centres dvaluation (CESTI) et dlivre les
certificats officiels lissue des valuations.
121
Le cot dune valuation selon les Critres communs varie sur une chelle de un dix
selon le niveau dassurance14 retenu EAL1+ ou EAL4+. ce titre, on peut pressentir une
gradation des exigences de scurit intgrant tout ou partie des points suivants :
-
le niveau de comptence des quipes;
lexamen par lvaluateur de larchitecture et des spcifications fonctionnelles du systme

ainsi que de la documentation utilisateur pour vrifier leur adquation avec la cible de
scurit produite ;
des tests des fonctions de scurit de la cible, conduits par des tiers indpendants ;
une analyse indpendante des vulnrabilits de la cible, dmontrant sa rsistance des

attaques de bas niveau ;
la mise en place dune gestion de configuration.
Un cot interne li au suivi de lvaluation et la fourniture de la documentation

(dautant plus faible que des bonnes pratiques en matire de dveloppement et dintgration
ont t mises en uvre ou que lvaluation est faite en amont).
8.4. La matrise des risques de blanchiment

8.4.1.
Problmes dapplication de la rglementation en matire

didentification des clients
8.4.1.1.
Obligations lgales et rglementaires en matire didentification des clients
8.4.1.1.1.
En ltat actuel, les tablissements financiers sont soumis la rglementation

relative la lutte contre le blanchiment des capitaux, quels que soient les canaux
utiliss pour effectuer les oprations
La loi n90-614 du 12 juillet 1990 impose aux organismes financiers, avant douvrir
un compte, de sassurer de lidentit de leur cocontractant par la prsentation de tout document
crit probant . Le dcret n91-160 du 13 fvrier 1991 prcise la nature des documents exigs:
-
pour une personne physique: un document officiel portant la photographie de celle-ci;
pour une personne morale: la prsentation de loriginal ou lexpdition ou la copie certifie

conforme de tout acte ou extrait de registre officiel constatant la dnomination, la forme
juridique et le sige social, ainsi que les pouvoirs des personnes agissant au nom de la
personne morale.
14) Le niveau dassurance est dtermin par une chelle allant de EAL1 EAL7. EAL1 est prvu pour une valuation sans dveloppeur
(analyse des fonctions de scurit de la cible dvaluation, spcifications fonctionnelles de la cible, tests indpendants des fonctions de
scurit). EAL2 est une valuation indpendante de bas niveau (conception gnrale des sous-systmes, revue des tests bote-noire, des
fonctions de scurit effectues par le dveloppeur, recherche de vulnrabilits lmentaires). EAL3 est une valuation de niveau moyen
(notamment tests bote-grise, recherche des vulnrabilits justifie par le dveloppeur, gestion de configuration de la cible). EAL4 est une
valuation bote-blanche complte (recherche indpendante des vulnrabilits, contrle du dveloppement par rapport un modle de cycle
de vie, gestion de configuration automatise). EAL 5 est un haut niveau dassurance obtenu par le recours une mthode de dveloppement
rigoureuse. EAL 6 et EAL7 sont respectivement une valuation des systmes prsentant un fort et un trs fort degr de risques.
122
Les organismes financiers doivent conserver les rfrences ou la copie de ces documents.
La mme obligation pse sur eux pour les clients occasionnels ralisant des oprations dont la
nature et le montant sont prcises dans le dcret susvis (somme suprieure 50.000F,
location de coffre).
La loi prcise, en outre, que lorsque lorganisme financier suspecte que son interlocuteur
pourrait ne pas agir pour son propre compte, il se renseigne sur lidentit du bnficiaire vritable
et demande cet effet la prsentation de tout document ou justificatif quil estime ncessaire.
8.4.1.1.2.
La rglementation susvise relative lentre en relation avec de nouveaux clients

ne peut tre applique en ltat aux oprations effectues sur Internet
Toutefois, il nen va pas de mme selon que le client identifier est une personne
physique ou une personne morale. Les exigences de la rglementation actuelle en matire
didentification des personnes physiques ne sont pas applicables parce que ces dernires ne
peuvent se dessaisir des documents originaux dont la prsentation est requise.
En outre, une pice didentit ne vaut pas identification par elle-mme mais seulement
lorsquelle est prsente par son titulaire. En prcisant que le document officiel doit porter la
photographie de la personne dont lorganisme financier sassure de lidentit, le dcret n91-160
du 13 fvrier 1991 susvis contraint une personne physique sexposer personnellement pour
identification (voir aussi en ce sens, les recommandations professionnelles de lAssociation franaise
des banques relatives la lutte contre le blanchiment de largent de la drogue, mars 1991, page 21).
Il est souligner que larticle 33 du dcret n92-456 du 22 mai 1992 pris pour
lapplication du dcret-loi de 1935 relatif au chque est encore plus explicite: les tablissements
de crdit et personnes habilites tenir des comptes sur lesquels des chques peuvent tre
tirs doivent, pralablement louverture dun compte, vrifier le domicile et lidentit du
postulant qui est tenu de prsenter un document officiel portant sa photographie.
En revanche, lidentification distance des personnes morales est plus aise et peut
tre faite dans le respect de la rglementation actuelle. En effet, les personnes morales peuvent
produire par correspondance des copies certifies conformes ou des extraits originaux de
registres du commerce ou de greffe.
Ainsi quil est rappel dans la recommandation n10 du GAFI, les organismes
financiers peuvent galement en accdant aux registres publics, par voie tlmatique (ou autre
moyen de consultation distance), vrifier lexistence et la structure juridique de la socit et
obtenir des renseignements sur sa forme juridique, son adresse, ses dirigeants et les dispositions
rgissant le pouvoir dengager la personne morale.
Enfin, le problme de prsentation physique des documents nexiste pas pour les
personnes morales. Cependant, il reste entier pour la vrification des pouvoirs des personnes
habilites les reprsenter.
123
8.4.1.1.3.
Les exigences de la rglementation actuelle en matire didentification du client

reprsentent cependant une contrainte non ngligeable pour les personnes
(physiques ou morales) qui souhaitent raliser des oprations sans que leur
identit vritable soit connue
Dune part, la contrefaon des documents officiels exigs a un cot. En effet, ces
documents possdent tous des signes de scurit ainsi que des rfrences qui sont notamment
destines distinguer les originaux des contrefaons. En outre, les organismes financiers
exercent un contrle de vraisemblance sur les documents prsents. Ainsi, lAssociation
franaise des banques recommande de rapprocher la signature de la pice didentit de celle
dpose par le client, dexaminer les anomalies ventuelles du document, de sassurer de la
ressemblance entre la photographie et la personne prsentant le document (voir les
recommandations professionnelles de mars 1991, page 21). Par ailleurs, la jurisprudence rendue
sur lapplication de larticle 33 du dcret du 22 mai 1992 susvis est exigeante lgard des
organismes financiers. Il demeure que ce contrle est plus difficile pour les documents dorigine
trangre.
Dautre part, on a vu plus haut que lexposition physique auprs de lorganisme
financier est incompatible avec une entre en relation daffaires distance pour les clients
personnes physiques.
Il en rsulte que renoncer aux exigences de la loi de 1990 susvise et des textes pris
pour son application aboutit ncessairement faire le choix dune identification moins certaine
du client et une plus grande exposition du systme bancaire aux risques de blanchiment: on
rappellera cet gard que lidentification du client est au cur du dispositif prventif de lutte
contre le blanchiment des capitaux. Il convient donc de rechercher la faon de satisfaire ces
exigences en adaptant la rglementation existante.
8.4.1.2.
Les expriences trangres
On soulignera tout dabord que certains pays, les Etats-Unis notamment, nont pour
linstant pas marqu de proccupation majeure en matire de problmes didentification des
clients distance. Au Royaume-Uni, les autorits privilgient la connaissance des activits et
des oprations du client (know your customer policy) plutt que son identification, ce qui
peut paratre plus raliste en termes de rsultats attendus dans la lutte contre les oprations de
blanchiment ralises par Internet mais pose un problme de conformit avec la
recommandation du GAFI relative lidentification du client.
En revanche, dautres autorits trangres se penchent sur la question et commencent
proposer des solutions diverses. La Commission bancaire et financire belge (CBF) a diffus
ses assujettis (tablissements de crdit et entreprises dinvestissement) une note visant
principalement cerner les aspects du cadre rglementaire et prudentiel actuel qui sappliquent
spcifiquement lenvironnement dInternet. Dans cette note, la CBF insiste sur le fait que la
loi du 11 janvier 1993 sur le blanchiment ntablit pas de distinction selon quune relation
daffaires ou une opration se noue au moyen dun contact face face ou dun contact par
courrier, tlcopie, e-mail ou Internet. La rglementation exige par consquent que
ltablissement sassure, au moment de nouer une relation daffaires avec un client, de lidentit
124
de celui-ci au moyen dun document probant dont une copie est prise et conserve. Si un
tablissement veut conclure des contrats ou des oprations distance avec des clients, sans
quil y ait de contact face face, il doit donc mettre en place des procdures spcifiques
didentification qui satisfont plusieurs conditions de base, parmi lesquelles:
-
ces procdures garantissent une identification adquate des clients, conformment la

rglementation belge ;
elles ne peuvent pas tre appliques si ltablissement souponne ou dispose dindications

permettant de croire que le client vite prcisment un contact face face pour dissimuler
sa vritable identit et/ou quil est question de blanchiment de capitaux;
elles doivent faire lobjet dune attention particulire de la part des auditeurs internes et
externes de ltablissement.
En Allemagne, lOffice fdral de supervision bancaire a inclus en 1996 des dispositions

spcifiques concernant lidentification distance dans ses normes relatives aux mesures
prendre par les tablissements de crdit pour combattre et prvenir le blanchiment. Elles
prvoient que si, pour une bonne raison, lidentification ne peut tre ralise par ltablissement
de crdit lui-mme, par lintermdiaire de ses employs, elle doit tre faite pour le compte de
ltablissement par des tiers de confiance tels que notaires, avocats, consulats, ambassades,
ou selon une procdure didentification postale, en conformit avec les rgles applicables aux
tablissements de crdit.
En Finlande, lautorit de surveillance a diffus un communiqu sur lidentification
des clients distance, selon lequel les participants du march montaire doivent appliquer les
pratiques habituelles en la matire. Ces pratiques sont applicables Internet et aux autres
services fournis directement aux clients, en particulier lorsque des nouveaux clients souscrivent
des actions qui leur sont proposes par tlphone ou par Internet. Lidentit du client doit tre
tablie de manire adquate avant quil puisse acheter ou vendre des actions par Internet.
En Suisse, louverture de comptes distance sur Internet nest pas possible sans
identification formelle du client (par une copie de la carte didentit par exemple).
Le Service de lutte anti-blanchiment espagnol considre quil serait souhaitable de
rserver les services bancaires sur Internet aux clients dj identifis selon une relation
traditionnelle avec ltablissement bancaire.
La proposition de modification de la directive 91/308/CEE relative la prvention de
lutilisation du systme financier aux fins du blanchiment de capitaux (article 3.10) prvoit
cet gard quen cas douverture de compte distance, les tablissements relevant de la prsente
directive doivent prendre les mesures spcifiques et adquates ncessaires visant rpondre
au risque accru de blanchiment de capitaux qui existe lorsquils nouent des relations daffaires
ou effectuent une transaction avec un client qui nest pas physiquement prsent aux fins
didentification. Ces mesures garantissent que lidentit du client est tablie en demandant
notamment au client de produire des pices justificatives supplmentaires permettant de
sassurer de lidentit de ce dernier.
125
8.4.1.3.
Ladaptation de la rglementation en vue de la rendre applicable aux oprations

inities sur Internet
Ladaptation de la rglementation ne simpose que pour les clients personnes physiques.

La rglementation peut en effet demeurer inchange pour les clients personnes morales.
Toutefois, concernant ces derniers, il sagit de rappeler que les rgles didentification
sappliquent galement aux oprations sur Internet.
Il conviendrait alors de dfinir des rgles didentification permettant une scurisation
maximale de lentre en relation avec la clientle tout en tenant compte de labsence de relation
face face, impliquant en consquence une moindre identification. Il serait possible de
sinspirer du cas des tablissements bancaires sans guichets, pour lesquels la problmatique
apparat trs proche de celle pose par Internet.
Actuellement, les organismes financiers, qui proposent des ouvertures de comptes
distance leurs clients, procdent un certain nombre de mesures additionnelles de vrification
et notamment demandent la production de pices justificatives supplmentaires pour sassurer
de lidentit dun client. Par exemple, le client doit fournir :
-
une photocopie recto-verso de la carte didentit ou du passeport ;
deux bulletins de salaire originaux ;
un original de la dernire quittance EDF-GDF.
Certains organismes financiers adressent au client les instruments de paiement ou les

codes qui permettront ce dernier dinitier des oprations sur son compte par lettre avec accus
de rception. Le retour de cet avis conditionne dans ce cas le dbut du fonctionnement du compte.
En outre, dautres organismes financiers exigent que la premire alimentation du compte soit
effectue par un chque lordre de la banque distance tir sur la banque actuelle du client.
On relvera que par ce mcanisme dalimentation des comptes ouverts auprs delles,
les banques distance obtiennent une garantie supplmentaire sans pouvoir reporter la charge
didentification sur la banque prcdente de leurs clients. Cette assurance est cependant relative ;
certaines banques pouvant tre moins regardantes sur les procdures de vigilance contre le
blanchiment, que ce soit par ngligence ou parce que la rglementation qui lui est applicable
est moins exigeante que la rglementation franaise.
Enfin, ces tablissements distance nexigent pas la prsentation du document officiel
original, ni mme dune copie conforme, ce qui lve en grande partie la contrainte du cot de
contrefaon de documents; en effet, le cot de ralisation dune copie simple de document
officiel est souvent bien infrieur celui dun original (facilit des montages, disparition des
signes de scurit, etc.).
Des exigences supplmentaires pourraient tre obtenues dans le cadre dune procdure
ad hoc, telle que la production par le client dun relev didentit bancaire (RIB) provenant
126
dun autre tablissement de crdit (ou lquivalent du RIB dans le cas dun tablissement non
rsident) accompagn dune attestation certifiant que le compte vis par le RIB a t ouvert
par la production de documents originaux.
Cette voie a galement t retenue par le Conseil des Marchs Financiers (CMF), dont
la dcision n99-07 prcise les prescriptions et recommandations pour les prestataires de
services dinvestissement offrant un service de rception-transmission ou dexcution dordres
de bourse comportant une rception des ordres via Internet.
Il doit tre soulign que cette dcision na pas pour objectif premier de lutter contre
lutilisation des services dinvestissement offerts via Internet des fins de blanchiment de
capitaux, mais, plus largement, de prciser les conditions dapplication des rgles de bonne
conduite dictes aux titres II et III du rglement gnral du CMF (articles 2.4.12, 2.4.13,
3.3.2, 3.3.5, 3.3.7), lorsquun ordre est reu via Internet.
Certaines des dispositions de la dcision susvise semblent nanmoins particulirement
intressantes en matire de lutte contre le blanchiment. Larticle4 de cette dcision dcrit
prcisment la procdure didentification du client demandant la ralisation dune opration
via Internet. Il rejoint les modalits dcrites au paragraphe prcdent, puisquil prescrit la
rception pralable la ralisation de toute opration:
-
dune photocopie dune pice didentit en cours de validit (passeport, carte didentit,
permis de conduire);
dun relev didentit bancaire ou un chque annul (mais le compte vis pourrait avoir
t aussi ouvert distance);
dun justificatif de domicile.
Le prestataire confirme au nouveau client quil a bien reu les documents mentionns
en lui adressant une lettre avec avis de rception, qui lui permet dtablir la ralit du domicile
qui lui a t communiqu.
Comme il a t indiqu prcdemment, cette procdure est galement utilise par certains
tablissements de crdit et il apparat souhaitable que le recours cette dernire soit gnralis.
Cet article napporte cependant pas de prcisions sur le cas des clients personnes morales;
larticle 3.3.2 du rglement gnral du CMF est cet gard lui-mme insuffisant puisquil ne
requiert que lidentification des reprsentants lgaux des personnes morales.
Aux termes de larticle6 de la dcision n99-07, le prestataire habilit informe
clairement le client quaucune opration ne peut tre initie tant quil na pas reu les documents
prvus larticle4, sagissant dun nouveau client. Cette disposition est intressante car elle
souligne bien que la ralisation doprations distance, particulirement sur Internet, dune
manire compltement dmatrialise et prsente comme un gage de rapidit et gain de temps
dans la ralisation des oprations, ne dispense pas le client de fournir aux organismes financiers
les informations requises pour lutter contre le risque de blanchiment.
127
ce stade, il apparat ncessaire de souligner que le fonctionnement dun compte y

compris la rception de fonds et dinstruments financiers ne peut tre autoris quune fois
que la procdure didentification a t acheve. En outre, il est recommand aux tablissements,
dans la mesure des possibilits techniques, de dterminer le lieu do sont mis les ordres
reus sur leur site, pour que leur attention soit appele par un ordre en provenance dun pays
sans relation apparente avec le client. Il apparat galement envisageable de dfinir, au moins
pour certaines entreprises, ladresse physique qui sera seule accepte pour les changes de
flux sur Internet. Enfin, les tablissements doivent rester attentifs toute volution technique
qui est susceptible de remettre en cause les contrles en place ou au contraire les faciliter.
20. Louverture des comptes distance
Dans le cas o la reconnaissance physique apparat imposible mettre en
oeuvre, les organismes financiers qui proposent des ouvertures de comptes distance
leurs clients doivent procder des mesures additionnelles de vrification au nombre
desquelles la production de pices justificatives supplmentaires pour sassurer de
lidentit dun client. Ces mesures additionnelles de vrification doivent permettre
de connatre avec certitude lidentit du client et de satisfaire le degr dexigence en
cette matire impose par la loi de 12 juillet 1990.
8.4.1.4.
Lutilisation de certificats mis dans le cadre de la signature lectronique
Il convient de sinterroger sur larticulation entre les dispositions relatives la signature

lectronique et celles concernant lidentification du client dans le cadre de la lutte contre le
blanchiment.
Certes, lutilisation de certificats mis dans le cadre de la signature lectronique pourrait
constituer un lment nouveau permettant lidentification du client.
Pour autant, la prise en compte par le banquier dun certificat de signature lectronique
peut-elle suffire attester que la vrification de lidentit du client requise par la loi de 1990
a t faite?
Sur le plan technique, on observera que:
-
le projet de dcret ne dcrit pas les moyens appropris didentification qui seront utiliss
par le PSC;
la nature des informations contenues dans les certificats peut tre trs diffrente selon leur
destination;
les certificats noffriront pas les mmes degrs de scurit. Certains PSC seront
accrdits, dautres pas. Le banquier sexpose des risques de faux certificats, qui ne
seraient pas mis par le vrai PSC et dont la prise en compte ne vaudrait videmment
pas vrification de lidentit du client.
128
Sur le plan juridique, la vrification faite par un tiers peut-elle exonrer le banquier de
ses obligations en matire de lutte contre le blanchiment?
La procdure didentification accomplie par un PSC vise garantir la fiabilit dune
signature lectronique et cet objectif est diffrent par nature du processus accompli par le
banquier, qui vise sassurer de lorigine des capitaux changs dans le systme bancaire.
La prise en compte par un banquier dun seul certificat de signature lectronique pour
identifier son client en vue de satisfaire ses obligations en matire de blanchiment pose un
problme de fond puisquelle reviendrait reporter sur un tiers une obligation de vrification
didentit qui, par nature, pse sur le banquier.
En tout tat de cause, il convient de souligner que le recours une autorit de certification
nexonrerait pas les organismes de leur responsabilit au regard de lobligation didentification
de leur clientle impose par larticle 12 de la loi n 90-614 du 12 juillet 1990. Le banquier est
seul responsable de la mise en uvre de la lgislation de lutte contre le blanchiment, au moyen
de procdures efficaces de vrification de lidentit du client. Notamment, les tablissements
devraient toujours tre en mesure de dmontrer aux autorits de contrle, par la production de
documents justificatifs de lidentit, que lidentification a t effectue dans les conditions
prvues par la rglementation. Les obligations relatives la conservation des documents
didentification demeureraient galement.
En ltat actuel du droit et de la technique, il apparat dans ces conditions prmatur de
considrer quun certificat de signature lectronique puisse attester de la vrification de
lidentit du client dune banque au sens de la loi de 1990.
Par ailleurs, il est noter que la transposition de la directive sur le commerce
lectronique est indpendante de la question de la vrification de lidentit aux fins de lutte
contre le blanchiment. Les mesures prvues par la directive blanchiment nempchent pas
la conclusion de conventions de compte en ligne, les documents justificatifs didentit pouvant
tre communiqus par ailleurs.
8.4.2.
Problmes dapplication de la rglementation en matire de

connaissance des oprations
Dans le cadre de la loi du 12 juillet 1990 et des textes pris pour son application, les
organismes financiers doivent exercer une vigilance constante afin dune part de pouvoir
identifier les oprations qui pourraient provenir du trafic de stupfiants ou dactivits
dorganisations criminelles, en vue de les dclarer TRACFIN (article 3 de la loi du 12
juillet 1990), et dautre part de constituer un dossier de renseignements pour les oprations
de montant lev caractrises par une forte opacit (article 14 de la loi du 12 juillet 1990).
Dans le mme ordre dides, des procdures internes doivent tre mises en uvre pour
assurer le respect du dispositif de lutte contre le blanchiment. Ces procdures comprennent
notamment des rgles crites internes dcrivant les diligences accomplir, ainsi quun
systme de surveillance permettant de vrifier leur mise en uvre. Ces dispositions ne sont
pas incompatibles en elles-mmes avec la ralisation doprations sur Internet.
129
8.4.2.1.
Proccupations trangres
Dans la note quelle a adresse ses assujettis sur lapplication de la rglementation

prudentielle Internet, la Commission bancaire et financire belge nonce un certain nombre
de points requrant une attention particulire sous langle prudentiel, points explicits ensuite
dans une check-list distincte laide de laquelle les tablissements utilisant le rseau Internet
pourront vrifier le caractre adquat de leur organisation. Il est notamment mentionn que
les tablissements doivent se doter de procdures adquates pour suivre -si possible
lectroniquement et en temps rel- les transactions du client et le contrle des risques y affrant,
ainsi que doutils danalyse permettant de dtecter les ventuelles oprations de blanchiment.
Des mesures techniques et organisationnelles appropries doivent tre prises pour que, si le
respect des dispositions lgales lexige, ltablissement puisse diffrer la ralisation dune
opration et/ou refuser dexcuter des transactions pour le compte dun client le temps de
procder aux vrifications obligatoires.
Aux tats-Unis, lors de ses enqutes sur les services de banque lectronique offerts
par ses assurs, le FDIC vrifie galement lexistence de procdures appropries pour reprer
les oprations complexes des clients.
8.4.2.2.
Application aux oprations effectues sur Internet
Le dveloppement de la banque Internet doit saccompagner pour les organismes

financiers de la mise en place dun systme de surveillance informatis, selon un degr
dautomatisation dfinir, afin dexploiter de manire mthodique et systmatique le systme
dinformation et de se doter des moyens pour:
8.4.2.2.1.
Dtecter les oprations ncessitant un contrle de vraisemblance
Sur ce point, la banque doit tablir pour chaque client un profil de fonctionnement du
compte et sortir des anomalies circonstancies lorsque les caractristiques dune opration
scartent sensiblement dun comportement attendu. Certaines oprations pourraient servir
dindicateurs, permettant de surveiller (sinon contrler) des mouvements inhabituels ou curieux.
Dans un contexte automatis et de traitement de masse des oprations auquel sajoute la
possibilit de raliser ces dernires sur Internet 24h sur 24, le dlai ncessaire pour dtecter
une opration douteuse peut tre plus long et conduire ne lisoler qua posteriori avec
limpossibilit de surseoir son excution. Dans la mesure du possible, il est ncessaire que
soient mis en place des verrous qui permettent de bloquer la ralisation de certaines oprations
rpondant aux critres retenus pour identifier les oprations douteuses.
Bien quune liste exhaustive de critres soit impossible tablir et sous rserve des
observations complmentaires que pourrait apporter TRACFIN, ces derniers pourraient
comprendre notamment:
-
130
les fonds en provenance ou destination de certaines zones gographiques et en particulier des

juridictions non coopratives identifies par les travaux du Groupe daction finanire (GAFI) ;
des oprations dont les montants apparaissent anormalement levs au regard du

fonctionnement habituel du compte, en particulier pour les oprations suprieures 1MF ;
la dtection du fractionnement des oprations dont le montant total sur une brve priode
et destination dun mme bnficiaire dpasse les seuils qui donnent lieu dclaration
ou une vigilance renforce.
21. Une vigilance renforce en matire de surveillance des oprations sur Internet
La surveillance des oprations sur Internet en raison de la distanciation des
liens avec le client doit conduire les tablissements faire preuve dune vigilance
renforce ; aussi apparait-il dautant plus ncessaire que les contrles ne soient pas
uniquement automatiss mais quil existe toujours des gestionnaires de compte qui
centralisent toutes les informations sur les oprations effectues sur le compte. Seule
laffectation dun compte un gestionnaire unique garantit que ce dernier ait une
bonne connaissance de son fonctionnement et soit ainsi plus mme de dtecter les
oprations douteuses.
8.4.2.2.2.
Sassurer que les renseignements qui sont ventuellement exigs lors des ordres
de transferts mis par un client sont complets et conservs afin de garder la
traabilit de lopration
Larticle 15 de la loi prcite prvoit que les organismes financiers doivent conserver
pendant cinq ans compter de leur excution les documents relatifs aux oprations. La faisabilit
technique de cette disposition relative la nature des donnes qui peuvent tre conserves et
au support de conservation a t soumise aux tablissements.
En ce qui concerne la traabilit des oprations, lutilisation dInternet peut apporter
des lments qui favorisent la localisation des flux. A contrario, le reroutage peut constituer
un obstacle la possibilit didentifier avec certitude lorigine dune transaction, aussi convientil de sinterroger sur les possibilits techniques de contrarier son utilisation.
8.4.2.2.3.
Bloquer le cas chant la ralisation automatique de certaines oprations afin de

se donner le temps dexaminer leurs caractristiques ou dobtenir un complment
dinformations
Il convient de faire remonter la hirarchie les oprations les plus importantes pour
information ou pour instruction dans le cadre de larticle3 de la loi du 12juillet 1990.
On peut cependant sinterroger sur la faisabilit (et la pertinence) de bloquer
systmatiquement une opration rpondant certains types dalerte jugs graves (conditions
restrictives sur lautomaticit relatives au statut de rsident ou non rsident, au montant de
lopration, la localisation du pays metteur ou destinataire), en attendant une dcision de
ltablissement de crdit (acceptation ou rejet). En tout tat de cause, lexcution de lopration
nempche pas ltablissement de crdit de lanalyser et de faire, le cas chant, la dclaration
de soupon (en ce sens, article6 de la loi du 12juillet 1990).
131
Le systme de surveillance ou de matrise dengagements des oprations entre galement

dans le champ du contrle interne que doit exercer tout tablissement dans le cadre du rglement
n97-02 du Comit de la rglementation bancaire et financire. Le risque de blanchiment
pourrait tre explicitement mentionn de telle sorte quil soit trait comme les autres risques
mentionns larticle2. En outre, sagissant dune banque Internet, les procdures qui
sont la base du systme de surveillance doivent tre structures.
132
9. la matrise du risque sur les clients

9.1. Les exigences relatives au contrle de la capacit du prestataire
matriser son site web et son activit
Loffre de services financiers distance, notamment via le canal Internet15 , ne modifie
pas la nature des risques inhrents aux activits de crdit ou de services dinvestissement mais
rclame un renforcement des dispositifs de contrle interne. Internet permet en effet un accs
moins formel et plus rapide aux services financiers pour une clientle presse dont le prestataire
peroit plus difficilement le profil de risques. Au moment de lagrment, ce mode de prestation
amne donc sinterroger sur la capacit dun prestataire matriser les risques de contrepartie
pralablement au dmarrage de lactivit.
22. Exigences relatives au contrle de la capacit du prestataire matriser son site
web et son activit
Il est propos, en la matire, de fixer trois conditions pralables lagrment
dun prestataire de services financiers en ligne.
La premire viserait demander ce que le prestataire candidat lagrment
rdige des procdures encadrant les critres didentification et de slection de la
clientle.
La deuxime consisterait pour le prestataire tablir des modles de
conventions prcisant les responsabilits des diffrentes parties, notamment ses clients
qui devraient tre classs selon la typologie cible.
La troisime consisterait demander ce que le prestataire se dote de filtres
automatiques en amont de lacceptation des ordres et doutils permettant de suivre
en temps rel les positions des clients. Les autorits pourraient demander tout lment
de preuve au prestataire permettant dapprcier le caractre oprationnel de ces
systmes de filtre et de suivi avant de se prononcer sur lagrment. Lorsque le
prestataire a recours un tiers pour leur installation et/ou leur fonctionnement, une
convention fixant les responsabilits des parties en termes de moyens et de rsultats,
notamment en cas de panne ou derreur, devrait tre tablie.
Les dveloppements qui suivent visent prciser les critres permettant dapprcier la
capacit du prestataire de respecter les conditions dagrment qui lui sont fixes ci-dessus.
9.1.1.
Les exigences relatives aux critres didentification et de slection

de la clientle
En amont de toute offre distance, il conviendrait que le prestataire de services financiers

tablisse une typologie prcise de la clientle vise (clientle particulire, clientle professionnelle)
et adapte les procdures pralables au dmarrage commercial en fonction de cette segmentation
15) Sont aussi concerns les supports prcurseurs de loffre financire distance tels les services Audiotel par tlphone, le Minitel, la
mise disposition dcrans dlocaliss.
133
(dfinition de limites, accords sur les stratgies dintervention sur les marchs financiers). Au
moment de lagrment, le prestataire devrait galement dclarer sil entend offrir ses services des
clients localiss ltranger et prouver ladaptation de ses procdures aux rglementations locales.
Parmi les procdures susvises, les lments suivants pourraient tre examinslors de
lagrment :
-
une signature manuscrite voire lectronique, le cas chant, des conventions douverture
de compte et de responsabilit des parties est recommande pralablement au dmarrage
de toute relation commerciale;
le prestataire devrait valuer, pralablement au dmarrage puis dans une phase dessai au
dbut de lactivit, la comptence du client sagissant de sa matrise des oprations et de
ses connaissances des instruments financiers et des marchs. Une documentation de base
sur loffre de services et leurs risques doit tre labore et distribue aux clients;
le prestataire devrait tablir une procdure didentification du client. Le dossier client et

les conventions doivent inclure lensemble des personnes autorises intervenir partir
dune mme machine.
9.1.2.
Les exigences relatives au contenu des conventions prcisant les

responsabilits des parties
Ces exigences se situent en amont du dmarrage dactivit et peuvent tre compltes

par les rflexions propres au contrle interne. Il conviendrait, ce titre, de respecter les
diligences suivantes:
-
afin de faciliter le dmarrage dune relation commerciale, des modles de conventions

adapts la typologie de la clientle cible, des marchs dintervention et des instruments
financiers traits doivent tre labors;
le prestataire doit indiquer clairement aux clients les services pour lesquels il possde une
habilitation des autorits comptentes, ceux quil exerce lui-mme et ceux quil dlgue
des tiers;
sagissant des services dinvestissement et selon lhabilitation du prestataire, la convention

doit prvoir une description des responsabilits lies aux diffrentes tapes du cheminement
dun ordre (transmission par le client, rception par le prestataire, excution ou transmission
un tiers courtier, compensation ou allocation un tiers compensateur, modalits des
rglements/livraisons et du paiement des ventuelles couvertures de march selon les
instruments financiers et les rgles des marchs);
selon la typologie des clients, les conventions doivent prvoir des dpts de garantie
minimum pralablement tout dmarrage dun client;
lorsque le prestataire est simple courtier, il doit galement signer une convention avec le
compensateur des ordres de bourse. Cette convention prcise, selon les rgles de march,
134
les conditions de paiement des dpts de garantie et des appels de marge selon les marchs
et les instruments financiers;
-
les parties doivent prciser les responsabilits en cas derreurs et convenir des lments de
preuve sur lorigine et la responsabilit de ces erreurs;
les parties conviennent aussi de leurs devoirs dinformation rciproques et des dlais de
confirmation des oprations inities;
dans le cas o la convention signe par le client avec le prestataire autoriserait des dcouverts,
les modalits doivent tre prcises.
Dans le respect des exigences susvises qui pourraient tre reprises par les autorits
dagrment, le soin de rdiger des modles de convention selon la typologie des clients pourrait
tre dlgu conjointement aux associations professionnelles et aux associations de
consommateurs.
9.1.3.
Les exigences relatives aux filtres et aux outils de suivi
Afin de garantir la scurit des transactions, les prestataires de services financiers

devraient se doter, pralablement toute ouverture de compte fonctionnant en ligne, dun
systme de vrification automatique de lexistence des provisions titres et espces ainsi que
des ventuelles couvertures dont bnficie le client. Il leur appartient dtablir en parallle un
barme de limites en fonction des clients et de leurs avoirs.
Le filtre devrait notamment permettre :
-
de bloquer les ordres dpassant un seuil fix en francs ou en dpts de garantie pour les
instruments financiers terme;
de grer ces limites en tenant compte des positions dj ouvertes;
de grer une limite dengagement maximal en tenant compte de produits diffrents;
de moduler la procdure de confirmation des ordres en fonction de limportance des

positions, du profil de gains ou pertes ou des caractristiques de lordre au regard des
conditions de march (cart par rapport au dernier cours, marchs peu liquides...);
dajuster les limites en fonction du rsultat des oprations inities par le client.
Le responsable du contrle interne devrait avoir la matrise des outils technologiques

de contrle et lautorit pour valider le paramtrage du filtre selon les contreparties. En
complment, les outils de suivi dont le caractre oprationnel devrait tre dmontr lors dune
demande dagrment (soit par respect de standards, soit par rsultat dune expertise indiquant
leur fiabilit) devraient permettre:
135
de visualiser tout moment les positions des clients, leur situation par rapport aux limites
et leurs rsultats;
doffrir un systme dalerte automatique lorsque les pertes dun client atteignent un
pourcentage dfini de ces avoirs titres ou espces;
dentamer un dialogue avec le client sur son cran si sa ligne tlphonique est mobilise
par sa machine.
9.2. Recommandations, en matire de contrle interne, sur

ltablissement de la relation avec le client
23. Bonnes pratiques en matire de matrise des risques clients
Un recueil de bonnes conduites sur la matrise des risques clients est expos
ci-dessous.
En particulier, ltablissement devrait vrifier la situation financire de son
client sur la base de documents appropris. Il dtermine une limite dengagement
pour chacun de ses clients et la rvise rgulirement. Les procdures de
ltablissement dterminent les rgles applicables en matire de fixation et
dautorisation de franchissement des limites. Pour les dossiers dont la nature et
limportance le rendent ncessaire, les dcisions de prt et dengagement doivent
tre prises par deux personnes au moins, ainsi que les dcisions doutrepasser les
procdures automatises. Ltablissement effectue un suivi globalis de lensemble
des engagements sur un mme client ou groupe de clients ou sur une mme
contrepartie, quel que soit le canal de distribution utilis (tlphone, Internet,
crans dlocaliss). Le suivi tient compte de la consommation de la provision, des
garanties dposes, des oprations en cours. Linformation sur la marge disponible
est constamment tenue jour.
Lorsque, aprs avoir consult les informations mises sa disposition sur les services
proposs par ltablissement, un client souhaite sengager dans une relation contractuelle avec
lui (dans le cas le plus gnral en ouvrant un compte, despces ou dinstruments financiers),
il importe que les dispositions des articles 18 24 du rglement n97-02 du Comit de la
rglementation bancaire et financire soient respectes. Ltablissement doit galement respecter
lensemble des rglements professionnels en vigueur, en particulier ceux relatifs la vrification
pralable des couvertures clients, lhorodatage des ordres, au cantonnement des avoirs de la
clientle, la rtrocession des appels de marges.
Dune manire gnrale, ltablissement devrait sassurer que les moyens quil met en
uvre pour traiter les demandes douverture de relations sont adapts en qualit et en quantit.
Tout ou partie des traitements peuvent tre automatiss pour faire face une volumtrie
importante de demandes, mais, en aucun cas, linadaptation des moyens ne doit conduire
ngliger ces contrles, mme partiellement.
136
Naturellement, les rgles suivantes sappliquent pour un client nouveau qui ne dispose
pas dj dun compte dans ltablissement et est connu, ce titre, de ltablissement.
9.2.1.
Connaissance du client
Les articles 19 et 21 du rglement n 97-02 relatif au contrle interne des tablissements

de crdit disposent:
Article 19
Sous rserve des dispositions prvues larticle 23 ci-aprs, lapprciation du risque
de crdit doit notamment tenir compte des lments sur la situation financire du bnficiaire
en particulier sa capacit de remboursement et, le cas chant, des garanties reues. Pour
les risques sur des entreprises, elle doit tenir compte galement de lanalyse de leur
environnement, des caractristiques des associs ou actionnaires et des dirigeants ainsi que
des documents comptables les plus rcents.
Les tablissements de crdit constituent des dossiers de crdit destins recueillir
lensemble de ces informations de nature qualitative et quantitative et regroupent dans un
mme dossier les informations concernant les contreparties considres comme un mme
bnficiaire, sous rserve de lapplication de rglementations trangres, limitant
ventuellement la communication dinformation.
Les tablissements de crdit compltent ces dossiers, au moins trimestriellement, pour
les contreparties dont les crances sont impayes ou douteuses ou qui prsentent des risques
ou des volumes significatifs.
Article 21
Les procdures de dcision de prts ou dengagements, notamment lorsquelles sont
organises par la fixation de dlgations, doivent tre clairement formalises et tre adaptes
aux caractristiques de ltablissement, en particulier sa taille, son organisation, la nature
de son activit.
Lorsque la nature et limportance des oprations le rendent ncessaire, les
tablissements de crdit sassurent dans le cadre du respect des procdures de dlgations
ventuellement dfinies, que les dcisions de prts ou dengagements sont prises par au moins
deux personnes et que les dossiers de crdit font galement lobjet dune analyse par une
unit spcialise indpendante des entits oprationnelles.
Au-del du respect des rgles relatives la lutte contre le blanchiment, la connaissance
du statut juridique du client est indispensable pour la matrise du risque de contrepartie, compte
tenu du caractre international de lactivit.
137
Sur la base de ltude juridique cite prcdemment, les procdures de ltablissement

doivent prvoir les informations et les lments de preuve qui doivent tre demands au client.
9.2.1.1.
Identit du client
Il sagit non seulement de ses noms et domicile, mais galement de son statut juridique.
La connaissance de ladresse personnelle du client est imprative.
Ltablissement devrait demander des preuves que le client est majeur. Si le rgime
juridique du client limpose, il vrifie quil est galement capable. Lorsque le client est une
personne morale, les procdures prvoient les documents tablissant le pouvoir des personnes
physiques la reprsentant dans tous les actes juridiques. Lquivalent des extraits Kbis du
droit franais est ce titre exig, si ncessaire accompagn dune legal opinion sur la
capacit des dirigeants.
Lorsquil recourt aux coordonnes bancaires prexistantes du client pour lidentifier,
ltablissement veille la fiabilit de cette source dinformation, en sassurant que
ltablissement teneur du compte est lui-mme astreint des contrles approfondis (par exemple
du fait de lexistence dune lgislation anti-blanchiment efficace dans le pays considr). Il ne
peut de toutes faons sagir que dune scurit additionnelle aux contrles que ltablissement
ne peut pas se dispenser deffectuer lui-mme.
Dans tous les cas, ltablissement doit sassurer que les collaborateurs en charge des
vrifications ont la comptence ncessaire pour dtecter raisonnablement des pices incorrectes
ou des faux ventuels.
9.2.1.2.
Capacit financire du client (article 19 du rglement n97-02)
Ltablissement sassure que ses procdures permettent de dterminer la capacit

financire du client faire face ses engagements. Ces procdures dtaillent les lments
dinformation demands chaque client, quil sagisse de son patrimoine, de ses revenus et de
ses engagements financiers.
Dans le cadre de la lutte contre le blanchiment, ces lments sont essentiels pour
permettre ltablissement dapprcier le caractre normal des oprations effectues par la
suite par le client, notamment au regard de la profession dont il a justifi ou de ses revenus.
9.2.2.
Formalisme de louverture de la relation
Dans lattente de la reconnaissance du caractre probatoire des changes dmatrialiss,

et notamment de la signature lectronique comme moyen de preuve du consentement un
contrat, lchange de documents papier simpose.
Dans tous les cas, la convention douverture de compte ou de prestation de services16 , est
signe en deux exemplaires, dont lun est conserv par ltablissement dans le dossier du client
prvu larticle 19 du rglement n97-02 du Comit de la rglementation bancaire et financire.
16) Qui obit notamment aux prescriptions rglementaires du Rglement gnral du CMF (art. 2-4-12 et 2-4-13) dans le cas de services
dinvestissement.
138
Il appartient ltablissement de dterminer, selon son activit et la nature des

justificatifs demands, sil exige de ses clients des originaux ou des copies. Dans toute la
mesure du possible, les originaux des justificatifs doivent tre prfrs.
Aucune opration ne peut tre engage avec le client ou pour son compte tant que
toutes les formalits ne sont pas accomplies.
La convention signe avec le client prvoit les rgles relatives:
-
la formation et la preuve du consentement du client aux oprations engages avec lui

ou pour son compte. La convention prcise en particulier les rgles de conservation des
lments de preuve, notamment les informations conserves et le dlai;
au droit applicable et aux juridictions comptentes dans le cas dune relation

transfrontalire;
au niveau de qualit du service garanti au client, et aux cas de force majeure dans lesquels
cette garantie ne joue plus, ainsi quaux modalits dinformation du client dans une telle
ventualit;
La convention prcise les engagements de ltablissement, et la limite de sa

responsabilit, au cas o le dimensionnement du systme ne lui permettrait pas de faire face
aux volumes traiter en respectant les performances attendues par le client.
Afin de sassurer de la vracit des informations donnes par le client sur son identit
et son adresse, ltablissement lui adresse par courrier, dans la mesure du possible avec accus
de rception (ou quivalent dans les pays trangers), la convention douverture de compte
signe, accompagne des lments ncessaires au fonctionnement du compte (identifiant et
mot de passe, par exemple17 ). Le fonctionnement du compte ne doit pouvoir commencer
quaprs la rception par ltablissement de laccus-rception lui permettant de sassurer de
la ralit de ladresse indique. En outre, pour obtenir plus de garanties quant ladresse
indique par le client, les tablissements pourraient demander ce dernier la production dun
avis dimposition qui permettrait de disposer galement dune meilleure apprciation de sa
capacit financire.
9.3. Le contrle permanent des risques clients

Les articles 18 24 du rglement n 97-02 du Comit de la rglementation bancaire et
financire fixent les rgles relatives la slection et la mesure des risques de crdit.
9.3.1.
Rgles gnrales
Les procdures de ltablissement devraient dterminer les modalits de lapplication

de la rgle des quatre yeux toute dcision concernant un client ou une contrepartie. Elles
dfinissent les plafonds en-de desquels un traitement automatique ou une dcision
17) A titre de prcaution supplmentaire, lenvoi dissoci de ces deux lments pourrait tre utilement envisag, pour viter le risque de
leur dtournement par un tiers mal intentionn.
139
individuelle est admis. Dans ces cas, elles identifient les personnes autorises prendre ces
dcisions, prvoient les traces conserves et les modalits dinformation des responsables,
dirigeants et du responsable du contrle interne.
9.3.2.
Apprciation de la limite de risque qui peut tre accepte sur le client
Les rgles relatives lapprciation de la limite de risques sont fixes par les articles
19 et 24 du rglement n97-02 du Comit de la rglementation bancaire et financire.
Article 24
Les tablissements de crdit doivent procder tout le moins trimestriellement
lanalyse de lvolution de la qualit de leurs engagements. Cet examen doit notamment
permettre de dterminer, pour les oprations dont limportance est significative, les
reclassements ventuellement ncessaires au sein des catgories internes dapprciation du
niveau du risque de crdit, ainsi que, en tant que de besoin, les affectations dans les rubriques
comptables de crances douteuses et les niveaux appropris de provisionnement.
Ltablissement dtermine si les lments dinformation fournis par le client doivent
ou non tre complts par un entretien.
9.3.3.
Suivi du risque sur le client
9.3.3.1.
Larticle 18 du rglement n97-02 du Comit de la rglementation bancaire et

financire
Article 18
Les tablissements de crdit doivent disposer dune procdure de slection des risques
de crdit et dun systme de mesure de ces risques leur permettant notamment:
a)
didentifier de manire centralise leurs risques de bilan et de hors-bilan lgard

dune contrepartie ou des contreparties considres comme un mme bnficiaire au
sens de larticle 3 du rglement n 93605 sus-vis;
b)
dapprhender diffrentes catgories de niveaux de risque partir dinformations

qualitatives et quantitatives;
c)
de procder, si elles sont significatives, des rpartitions globales de leurs engagements

par ensembles de contreparties faisant lobjet dune apprciation technique de leur
niveau de risque, tel que celui-ci est apprci par ltablissement, ainsi que par secteur
conomique et par zone gographique.
140
9.3.3.2.
Code de bonne conduite
La limite de risque convenue entre ltablissement et son client (autorisation de dcouvert

par exemple ou montant maximum des positions sur instruments financiers), diminue de
lutilisation qui en est faite par celui-ci, doit tre, en tenant compte des impratifs techniques
et organisationnels, tenue en permanence jour la disposition du client.
Il est important que ltablissement mette en place de manire effective un suivi globalis
de lensemble des engagements sur un mme client ou groupe de clients ou sur une mme
contrepartie, quel que soit le canal de distribution utilis (guichets, tlphone, Internet, crans
dlocaliss).
Le systme dinformation doit tre organis de manire suivre en permanence la
totalit des risques pris sur un client . Lexistence de dispositifs de contrle et de filtrage
distincts pour chaque canal doit absolument tre vite.
Les procdures de ltablissement dterminent les rgles de franchissement des limites.
Elles prvoient quelles sont les personnes qui peuvent les autoriser, lapplication de la rgle
des quatre yeux, les traces qui en sont conserves, ainsi que les modalits dinformation des
dirigeants et du responsable du contrle interne sur ces franchissements au cours de la priode
coule. Le dispositif de suivi du risque doit prendre en compte les modalits de retour une
situation normale.
Enfin, des procdures dgrades documentes, prvoyant par exemple un suivi manuel,
doivent permettre ltablissement de matriser son risque client mme en cas dindisponibilit
totale ou partielle de son systme de suivi des limites. Toutefois, un ralentissement des
performances du systme ne doit pas lui seul justifier que les instructions des clients soient,
pour des raisons commerciales, excutes sans tre soumises au systme de contrle des limites.
9.3.4. Recueil du consentement des clients

Ltablissement veille la scurit juridique de toutes les oprations engages avec ou
pour le compte de son client. Il sassure en particulier du caractre certain de son consentement
lopration, mme transmis de manire dmatrialise.
Pour toute opration noue directement par un canal automatis, ltablissement doit
dmontrer que les oprations demandes au client pour manifester son accord suffisent pour
viter toute ambigut sur son consentement lopration.
Ltablissement veillera ce propos ce que toutes les informations sur les engagements
du client, directs et indirects, soient clairement accessibles et valides par le client. Il sassurera
galement que le client ne puisse sengager par erreur, par exemple lissue dune fausse
manuvre ou en croyant effectuer une simple simulation, par exemple.
141
CONCLUSION
LInternet bancaire et financier soulve un certain nombre de questions prudentielles,
sur lesquelles tant lvolution du droit que la coopration internationale apporteront des
rponses. Ces volutions demandent tre suivies attentivement et complteront utilement les
dveloppements de ce Livre blanc.
Le Livre vert de la Commission europenne sur le commerce lectronique et les
services financiers, qui devrait tre publi au premier semestre 2001, apportera des prcisions
en matire de droit applicable et devrait amorcer une nouvelle phase dapprofondissement
du march intrieur fonde sur une harmonisation des rgles de protection des consommateurs
et des investisseurs.
En outre, le groupe banque lectronique du Comit de Ble continue ses travaux et
devrait proposer, dans le courant de lanne 2001, un cadre de coopration entre autorits
pour le contrle des banques lectroniques, ainsi que des recommandations en matire de
matrise des risques.
Enfin, la transposition complte des directives commerce lectronique et
signature lectronique, ainsi que la finalisation des directives services financiers
distance et blanchiment, complteront le cadre dexercice des activits bancaires et
financires en ligne.
La Banque de France et le Secrtariat gnral de la Commission bancaire suivront
avec attention ces dveloppements.
143
SOMMAIRE
AVANT-PROPOS ........................................................................................9
RECOMMANDATIONS DU LIVRE BLANC .........................................15
1.
Recommandations aux dirigeants des tablissements de crdit et des

entreprises dinvestissement ................................................................................ 15
2.
Recommandations la place ............................................................................... 16
3.
Recommandations dans le cadre des travaux internationaux mens par les

superviseurs bancaires ......................................................................................... 16
RSUM ............................................................................................................................ 17
1.
Laccs lexercice dactivits bancaires et financires sur Internet .............. 17
1.1. La caractrisation de lexercice dune prestation en France ................................................................... 17

1.2. Le cadre juridique relatif la sollicitation de la clientle (publicit et dmarchage) sagissant des
activits en ligne ..................................................................................................................................... 17
1.3. Lidentification des services offerts sur Internet ..................................................................................... 18
2.
La scurit ............................................................................................................. 19
2.1. Les risques oprationnels lis la scurit des systmes dinformation doivent tre valus et matriss
par les tablissements de crdit et les prestataires de services dinvestissement .................................... 20
2.2. La matrise du risque de rputation, qui peut se propager lensemble de la communaut financire,
plaiderait en faveur de la mise en place dun rfrentiel de scurit qui serve de fondement une
certification, voire une labellisation des sites web financiers .............................................................. 22
3.
Le contrle interne et la lutte contre le blanchiment ........................................ 23
3.1. Les risques soulevs par lInternet ..................................................................................................... 23

3.2. appellent les recommandations suivantes .......................................................................................... 23
INTRODUCTION ............................................................................................................. 25
PREMIRE PARTIE ...................................................................................... 27

LACCS A LEXERCICE DACTIVITS BANCAIRES ET FINANCIRES SUR
INTERNET.................................................................................................................... 29
1.
Lexercice dactivits bancaires et financires sur Internet introduit-il une
145
nouvelle problmatique en matire dagrment des oprateurs? ................... 29

1.1. Internet et lexigence dune autorisation pour exercer des activits bancaires et financires ................ 29
1.2. Une nouvelle donne pour loffre de services bancaires et financiers ...................................................... 31
1.2.1. Une nouvelle relation clientle ........................................................................................................................ 31
1.2.2. De nouveaux oprateurs et de nouvelles pratiques ......................................................................................... 33
1.2.3. La nature transfrontalire de loffre ................................................................................................................. 33
2.
Les conditions daccs lactivit bancaire ou financire sur Internet .......... 35
2.1. La capacit agir du prestataire ............................................................................................................. 35

2.1.1. La capacit dun prestataire exercer des activits bancaires ou financires en France ............................... 35
2.1.1.1. La dtermination du lieu dexercice des oprations ............................................................................... 35
2.1.1.2. Les diffrents cas dexercice par Internet doprations bancaires ou financires en France ................. 37
2.1.1.2.1. Le choix de louverture dune structure agre ................................................................................. 37
2.1.1.2.2. Cas sapparentant une prsence permanente en France ................................................................. 38
2.1.1.2.3. Internet et le march unique europen des services bancaires et financiers ..................................... 40
2.1.2. La capacit juridique dun prestataire solliciter la clientle franaise ......................................................... 43
2.1.2.1. La sollicitation de la clientle ................................................................................................................. 43
2.1.2.1.1. La publicit ......................................................................................................................................... 43
2.1.2.1.2. Le dmarchage ................................................................................................................................... 44
2.1.2.1.3. Pratiques en cours sur Internet ........................................................................................................... 45
2.1.3. Lutilisation de faisceaux dindices pour dterminer si un tablissement dun pays tiers lEEE doit tre
agr pour offrir des services bancaires et financiers en France ou pour exercer une activit bancaire
auprs de rsidents franais ............................................................................................................................. 47
2.2. La vrification de la capacit dexercice des oprateurs et la licit des oprations effectues sur
Internet ................................................................................................................................................... 49
2.2.1. Linformation de la clientle quant la capacit dexercice dun prestataire ................................................ 50
2.2.2. Apprciation par les autorits du caractre bancaire ou financier de certaines oprations ............................ 52
2.2.2.1. Le cas des portails et des sites agrgateurs ............................................................................................. 53
2.2.2.1.1. Les agrgateurs de donnes (screen scrapers) ............................................................................. 53
2.2.2.1.2. Les portails ......................................................................................................................................... 53
2.2.2.2. Monnaie prive ........................................................................................................................................ 54
2.2.2.3. Le mode de paiement dit du kiosque ...................................................................................................... 54
2.2.3. La sanction de lexercice illgal du mtier de banquier .................................................................................. 55
3.
Le cadre dexercice de lactivit bancaire ou financire sur Internet ............. 56
3.1 Essai dune typologie des relations prestataire/client ............................................................................. 56

3.1.1. Contrat conclu entre un client ayant sa rsidence en France et un prestataire de droit franais .................... 57
3.1.2. Contrat conclu entre deux ressortissants de lUnion europenne ................................................................... 59
3.1.3. Un des cocontractants est extrieur lUnion Europenne ............................................................................ 60
3.2. Le droit de la preuve ............................................................................................................................... 61

3.2.1. La reconnaissance de lcrit lectronique comme formalisme ad probationem............................................. 62
3.2.1.1. La directive signature lectronique ......................................................................................................... 62
3.2.1.2. La loi du 13 mars 2000 ........................................................................................................................... 64
3.2.1.2.1. Dfinition lgale de la prsomption de fiabilit des signatures lectroniques .................................. 64
3.2.1.2.2. Les conventions de preuve ................................................................................................................. 64
3.2.1.2.3. Le projet de dcret dapplication transposant la directive signature lectronique ........................... 65
3.2.2. La reconnaissance de lcrit lctronique comme formalisme ad validitatem ............................................... 67
3.3. Un cadre juridique europen en construction ......................................................................................... 67
146
3.3.1. Limpact de la directive commerce lectronique en matire bancaire et financire ................................. 67

3.3.2. La directive commerce lectronique ne remet pas en cause les rgles traditionnelles de droit
international priv ........................................................................................................................................... 68
3.3.3. Le Livre vert de la Commission europenne sur le commerce lectronique et les services financiers ......... 68
DEUXIME PARTIE ..................................................................................... 69

LANALYSE DES RISQUES ........................................................................................... 71
4.
Les risques financiers ........................................................................................... 72
4.1. Les services classiquement rendus dans une relation physique sont ou seront en ligne ......................... 72
4.2. Les risques financiers sont de mme nature ........................................................................................... 72
5.
Les risques oprationnels ..................................................................................... 74

5.2. LInternet bancaire et financier accentue la porte du risque oprationnel li la scurit des systmes
dinformation .......................................................................................................................................... 74
5.2.1. La permabilit entre systmes dinformation internes et Internet ................................................................. 74
5.2.2. Le risque de rputation, qui peut se propager lensemble de la place ......................................................... 75
5.2.3. Lanalyse du risque par le Comit de Ble ...................................................................................................... 75
5.3. Identification/authentification, intgrit, confidentialit et non rpudiation des transactions ................ 76

5.3.1. Les besoins de scurit des transactions bancaires et financires en ligne .................................................... 76
5.3.2. La cryptographie cl publique apporte des solutions aux besoins de scurit des transactions
bancaires et financires en ligne... .................................................................................................................. 77
5.3.3. ...mais les organisations mettre en place sont complexes... ......................................................................... 78
5.3.4. ... et les cartes puce sont un complment indispensable des infrastructures cls publiques .................... 78
5.3.5. L analyse des risques induits par les prestataires de service de certification (PSC) intervenant dans
le secteur bancaire et financier ....................................................................................................................... 79
5.4. Risques en matire de blanchiment prsents par lutilisation dInternet .............................................. 80

5.4.1. Services financiers sur Internet et permabilit au blanchiment ..................................................................... 80
5.4.1.1. Ouverture de compte et entre en relation avec la clientle ................................................................... 80
5.4.1.2. Dmatrialisation et automatisation des oprations ............................................................................... 81
5.4.1.2.1. Les oprations despces, retraits et versements ............................................................................... 81
5.4.1.2.2. Les oprations scripturales ................................................................................................................. 82
5.4.1.3. Facilit daccs par Internet des techniques traditionnelles de blanchiment ...................................... 83
5.4.2. Monnaie lectronique ....................................................................................................................................... 83
5.4.2.1. Porte-monnaie lectroniques (PME) ....................................................................................................... 83
5.4.2.2. Porte-monnaie virtuels (PMV) ................................................................................................................ 84
6.
Les risques sur les clients et sur les contreparties ............................................. 85
6.1 Lanonymat du client .............................................................................................................................. 85

6.2. Les effets sur la gestion du risque client de la concurrence, avive par Internet .................................... 85
6.3 La faible culture de prudence de certains prestataires de services sur Internet ...................................... 85
TROISIME PARTIE ..................................................................................... 87
147
LA MATRISE DES RISQUES ....................................................................................... 89

7.
Assise financire et suivi de la rentabilit .......................................................... 91
7.1. Vrification au moment de lagrment de la solidit de la structure financire ..................................... 91

7.2. Le suivi de la rentabilit ......................................................................................................................... 93
7.2.1. Le contrle de la rentabilit des oprations et larticle 20 du rglement n97-02 du Comit de la
rglementation bancaire et financire ............................................................................................................. 93
7.2.2. Suivi de la rentabilit globale .......................................................................................................................... 94
8.
La matrise des risques oprationnels ................................................................ 96
8.1. L intgration des activits Internet dans lorganisation du contrle interne ........................................... 96
8.1.1. Rle des organes excutif et dlibrant ........................................................................................................... 96
8.1.2. Rle du responsable du contrle interne ......................................................................................................... 97
8.1.3. Coordination des projets Internet au sein de ltablissement ou du groupe ................................................... 97

8.2.1.
8.2.2.
8.2.3.
8.2.4.
Connaissance du cadre juridique de lactivit ................................................................................................. 98

Les prestataires de services de certification (PSC) .......................................................................................... 99
Preuve et contrle ........................................................................................................................................... 101
Scurit juridique en cas de mise en relation ................................................................................................ 102
8.3. La matrise du systme dinformation et la scurit des transactions ................................................... 102

8.3.1. Vrification au moment de lagrmentde la matrise du site web ................................................................ 102
8.3.1.1. La matrise de la prestation externe ...................................................................................................... 102
8.3.1.2. Des exigences scuritaires plus pousses en matire dagrment ........................................................ 105
8.3.1.2.1. La dmarche questionnaire ........................................................................................................... 106
8.3.1.2.2. La dmarche dexpression des objectifs de scurit ....................................................................... 107
8.3.1.2.3. Impact dune certification scuritaire sur les dmarches prcdentes ........................................ 108
8.3.2. La matrise du systme dinformation ........................................................................................................... 108
8.3.2.1. Larticle 14 du rglement n97-02 du Comit de la rglementation bancaire et financire ............... 108
8.3.2.2. Rgles gnrales .................................................................................................................................... 109
8.3.2.3. Les relations avec les prestataires de services et sous-traitants ........................................................... 110
8.3.2.4. La disponibilit .......................................................................................................................................111
8.3.2.5. Lintgrit et la confidentialit de linformation ................................................................................... 112
8.3.2.6. Les performances du systme dinformation ........................................................................................ 112
8.3.2.7. Preuve/contrleet piste daudit ............................................................................................................ 112
8.3.2.8. Les rapports sur le contrle interne et sur la mesure et la surveillance des risques ............................ 113
8.3.3. Exemple dinfrastructure de scurit, utilisant la cryptographie asymtrique .............................................. 113
8.3.3.1. Conditions pour pouvoir bnficier de la prsomption de fiabilit ...................................................... 114
8.3.3.2. Exemple de mise en uvre dune infrastructure cls publiques ....................................................... 114
8.3.3.2.1. Une procdure dobtention de certificat et de stockage sur carte puce ........................................ 115
8.3.3.2.2. Une procdure dauthentification .................................................................................................... 115
8.3.3.2.3. Une procdure de signature lectronique ........................................................................................ 115
8.3.3.2.4. Une organisation ............................................................................................................................... 116
8.3.3.2.4.1. Gestion des utilisateurs finaux .................................................................................................. 116
8.3.3.2.4.2. Loprateur de confiance ............................................................................................................ 116
8.3.3.2.4.3. La gnration des certificats ...................................................................................................... 116
8.3.3.2.4.4.
La gestion de larchivage ....................................................................................................... 116
8.3.3.2.4.5. La protection de la cl prive ..................................................................................................... 116
8.3.4. La matrise du risque de rputation, qui peut se propager lensemble de la communaut bancaire et
financire, plaiderait en faveur de la mise en place dun rfrentiel de scurit qui serve de fondement
une certification, voire une labellisation des sites web financiers .......................................................... 117
8.3.4.1. La vocation prudentielle du profil de protection .................................................................................. 118
8.3.4.1.1. Rfrentiel de scurit pour lagrment de nouveaux entrants ....................................................... 118
8.3.4.1.2. Rfrentiel pour le contrle permanent de la scurit des systmes dinformation ....................... 118
148
8.3.4.1.3. Ce profil de protection devrait rpondre aux recommandations du Comit de Ble ................ 118
8.3.4.1.4. et faciliter ainsi les dmarches des tablissements pour obtenir un agrment dans les
juridictions hors espace conomique europen. .............................................................................. 118
8.3.4.2. La mise en place ventuelle dune labellisation ................................................................................... 119
8.3.4.3. Le choix dune approche modulaire: la dfinition de plusieurs profils de protection ........................ 119
8.3.4.4. Modalits de la certification .................................................................................................................. 121
8.3.4.4.1. La dmarche de certification ............................................................................................................ 121
8.3.4.4.2. Possibilit doffrir des fonctionnalits plus larges que celles qui sont dcrites dans le profil de
protection .......................................................................................................................................... 121
8.3.4.4.3. Cas dune modification du produit ou du systme .......................................................................... 121
8.3.4.4.4. Cot dune valuation selon les Critres communs ........................................................................ 121
8.4. La matrise des risques de blanchiment ................................................................................................ 122

8.4.1. Problmes dapplication de la rglementation en matire didentification des clients ................................ 122
8.4.1.1. Obligations lgales et rglementaires en matire didentification des clients ..................................... 122
8.4.1.1.1. En ltat actuel, les tablissements financiers sont soumis la rglementation relative la lutte
contre le blanchiment des capitaux, quels que soient les canaux utiliss pour effectuer les
oprations ......................................................................................................................................... 122
8.4.1.1.2. La rglementation susvise relative lentre en relation avec de nouveaux clients ne peut tre
applique en ltat aux oprations effectues sur Internet .............................................................. 123
8.4.1.1.3. Les exigences de la rglementation actuelle en matire didentification du client reprsentent
cependant une contrainte non ngligeable pour les personnes (physiques ou morales) qui
souhaitent raliser des oprations sans que leur identit vritable soit connue ............................. 124
8.4.1.2. Les expriences trangres .................................................................................................................... 124
8.4.1.3. Ladaptation de la rglementation en vue de la rendre applicable aux oprations inities sur Internet ...... 126
8.4.1.4. Lutilisation de certificats mis dans le cadre de la signature lectronique ......................................... 128
8.4.2. Problmes dapplication de la rglementation en matire de connaissance des oprations ........................ 129
8.4.2.1. Proccupations trangres ..................................................................................................................... 130
8.4.2.2. Application aux oprations effectues sur Internet .............................................................................. 130
8.4.2.2.1. Dtecter les oprations ncessitant un contrle de vraisemblance ................................................. 130
8.4.2.2.2. Sassurer que les renseignements qui sont ventuellement exigs lors des ordres de transferts
mis par un client sont complets et conservs afin de garder la traabilit de lopration ............ 131
8.4.2.2.3. Bloquer le cas chant la ralisation automatique de certaines oprations afin de se donner
le temps dexaminer leurs caractristiques ou dobtenir un complment dinformations .............. 131
9.
la matrise du risque sur les clients ................................................................... 133
9.1. Les exigences relatives au contrle de la capacit du prestataire matriser son site web et son activit .... 133
9.1.1. Les exigences relatives aux critres didentification et de slection de la clientle ..................................... 133
9.1.2. Les exigences relatives au contenu des conventions prcisant les responsabilits des parties .................... 134
9.1.3. Les exigences relatives aux filtres et aux outils de suivi ............................................................................... 135
9.2. Recommandations, en matire de contrle interne, sur ltablissement de la relation avec le client ... 136
9.2.1. Connaissance du client ................................................................................................................................... 137
9.2.1.1. Identit du client .................................................................................................................................... 138
9.2.1.2. Capacit financire du client (article 19 du rglement n97-02) ........................................................ 138
9.2.2. Formalisme de louverture de la relation ....................................................................................................... 138
9.3. Le contrle permanent des risques clients ............................................................................................ 139

9.3.1. Rgles gnrales ............................................................................................................................................. 139
9.3.2. Apprciation de la limite de risque qui peut tre accepte sur le client ....................................................... 140
9.3.3. Suivi du risque sur le client ............................................................................................................................ 140
9.3.3.1. Larticle 18 du rglement n97-02 du Comit de la rglementation bancaire et financire ............... 140
9.3.3.2. Code de bonne conduite ........................................................................................................................ 141
9.3.4. Recueil du consentement des clients .............................................................................................................. 141
CONCLUSION ................................................................................................................ 143
149
ANNEXES
151
ANNEXE 1
MEMBRES DU GROUPE DE TRAVAIL
sous la prsidence de M. Alain DUCHTEAU,
adjoint au Directeur de la Surveillance gnrale du systme bancaire
Secrtariat gnral de la Commission bancaire (SGCB)
rapporteur: M. Jrme DESLANDES,
SGCB, Service des affaires internationales
SOUS-GROUPE SECURITE
-
M. Jean-Claude HILLION, Inspecteur de la Banque de France, coordinateur
M. DELMAS, Banque de France
M. DESLANDES, SGCB
M. FOUQUET, Banque de France
M. LAURETOU, Inspecteur de la Banque de France
M. SINTUREL, SGCB
M. BOURGOGNE, Crdit lyonnais, Forum des comptences
M. EHNI, CPR-E*Trade
M. DELILLE, Crdit Agricole Indosuez, Forum des comptences
M. GAUDICHEAU, Banque Hervet, Forum des comptences
M. GHIDALIA, Forum des comptences
M. GODARD, Socit gnrale, Forum des comptences
M. HERVOIR, BNP-Paribas, Forum des comptences
Mme JOSSERAND, Banque Sudameris, Forum des comptences
M. de La RENAUDIE, Crdit Agricole Indosuez, Forum des comptences
M. Le BRAS, Crdit mutuel de Bretagne
M. METTEAU, Banque Sudameris, Forum des comptences
M. RIT, Socit gnrale, Forum des comptences
M. RITZ, BNP-Paribas, groupe scurit du CFONB, Forum des comptences
SOUS-GROUPE CONDITIONS DACCES A LA PROFESSION

-
M. Philippe RICHARD, adjoint au Directeur des tablissements de crdit et des entreprises

dinvestissement de la Banque de France, coordinateur
M. ANDRIES, Banque de France
M. ARNAUD, SGCB
ANNEXES DU LIVRE BLANC
153
M. CABOTTE, Banque de France
M. DESLANDES, SGCB
Mme LACHAUD, Banque de France
M. BOUILHOL , Socit gnrale
M. dHEROUVILLE, Gide Loyrette Nouel
M. LAULANIE, BNP Paribas
M. LANSKOY, Socit gnrale
Mme LESTEL, Crdit Agricole Indosuez
Mme PAOLI, BNP-Paribas
Mme PATEL, Banque Hervet
M. RUELLE, Crdit lyonnais
M. SAINT-ALARY, BNP-Paribas
M. de SAINT-MARS, AFEI
Mme SOUSI, Professeur de droit lUniversit de Lyon III
SOUS-GROUPE CONTRLE INTERNE ET BLANCHIMENT

-
M. Marc FASQUELLE, adjoint au chef du Service des entreprises dinvestissement et des

tablissements de march la Direction du contrle du SGCB, coordinateur
Mme CLERC, SGCB
Mme COMMENGE, SGCB
Mme GRENOUILLOUX, Banque de France
Mme GASTAL, SGCB
M. ROCHER, SGCB
Mme BUSSERY, Banque Hervet
M. DECOUVOUX du BUYSSON, Banque Sudamris
M. d ESTAINTOT, Crdit mutuel
M. LACHARNAY, Fimatex
M. LEGRIS, Crdit mutuel
M. MILAIR, BNP-Paribas
M. OCHONISKY, Socit Gnrale
M. OLLIVIER, Crdit mutuel
M. PISANI, Banque Sudamris
Mme SCHRICKE, Crdit Agricole Indosuez
M. VAUGIAC, Fimatex
M. WACK, Crdit Lyonnais
M. WAHL, Caisse Nationale du Crdit Agricole
154
ANNEXE 2
Guide dlaboration dune politique de scurit Internet

du Forum des Comptences
Cette version en ligne du Livre blanc ne comporte pas le guide

dlaboration dune politique de scurit Internet
du Forum des Comptences.
Tous renseignements concernant ce guide et son actualisation peuvent tre obtenus

auprs du Forum des Comptences.
-
Tlphone: 01.48.01.69.69 - Tlcopie: 01.48.01.69.68

Ml: forum@forum-des-competences.org
155
156
ANNEXE 3
GLOSSAIRE
AUDIOTEL
Systme audiotex franais.
AUDIOTEX
Laudiotex correspond la notion de service tlphonique

automatis. Laudiotex se dfinit par la conjonction de trois
lments: un usager qui utilise son poste tlphonique, une
machine vocale (capable de grer des informations sonores)
porteuse dun service dinformation ou de transaction, une ligne
tlphonique qui relie les deux.
AUTORIT
DATTRIBUTION
Elle met des certificats avec des attributs spcifiques, qui sont
gnralement valeur ajoute: capacit administrative exercer
un mtier, tat civil certifi, comptabilit certifie, acte notari.
Voir PSC.
AUTORIT
DENREGISTREMENT
Elle effectue la vrification dun certain nombre dinformations

concernant la personne (physique ou morale) demandant loctroi
dun certificat de cl publique, notamment son identit mais
aussi par exemple la nature de ses moyens de signature et de
conservation de la cl prive et adresse un message normalis
loprateur de certification en vue de la fabrication du
certificat dont elle assure galement la distribution. Voir PSC.
AUTORIT DE
CERTIFICATION
Une autorit de certification intervient en tant que tiers de

confiance entre utilisateurs du rseau internet pour scuriser
les changes. Elle est le donneur dordre des oprateurs de
certification et des autorits denregistrement. Elle assume
la responsabilit finale vis vis des tiers et dfinit la politique
de certification: ensemble des procdures et rgles de scurit
appliques par une autorit de certification ou exiges de ses
prestataires pour une catgorie donne de certificats. Lautorit
de certification conserve la cl secrte servant signer les
certificats. Elle gre ventuellement la marque associe son
activit ainsi que les problmes dinteroprabilit. Voir PSC.
BROWSER
Butineur, interface logicielle qui permet de naviguer sur le web.

Les plus connues de ces interfaces sont Communicator de
Netscape et Internet Explorer de Microsoft.
157
CERT
Computer Emergency Response Team: organisations

mises en place un peu partout dans le monde pour assister
leurs adhrents en matire de scurit des rseaux.
Regroupement au sein de la structure FIRST.
CERTIFICAT
Un certificat est une attestation lectronique qui lie les

donnes affrentes la vrification de signature une
personne et confirme lidentit de cette personne.
CERTIFICAT QUALIFI
Un certificat qualifi est un certificat qui satisfait aux

exigences vises lannexe I de la directive signature
lectronique: identification du PSC, nom du signataire,
code didentit du certificat, possibilit dinclure une
qualit spcifique du signataire en fonction de lusage
auquel le certificat est destin, date de validit, limites
lutilisation du certificat, limites la valeur des transactions
pour lesquelles le certificat peut tre utilis En outre, il
est fourni par un prestataire de service de certification
satisfaisant aux exigences vises lannexe II: faire la
preuve quils sont suffisamment fiables, assurer le
fonctionnement dun service de rvocation sr et immdiat,
vrifier par des moyens appropris et conformes au droit
national lidentit et le cas chant les qualits spcifiques
de la personne laquelle un certificat qualifi est dlivr,
ne pas stocker ni copier les donnes affrentes la cration
de signature de la personne laquelle le PSC a fourni des
services de gestion de cls
CHEVAL DE TROIE
Logiciel qui se place sur une machine cible, linsu du

propritaire. Il permet de communiquer avec la machine
cible pour excuter des oprations malveillantes.
CONFIDENTIALIT
Proprit qui assure la tenue secrte des informations avec

accs aux seules entits autorises.
COOKIE
Elment de donne stock sur le poste de travail par un

serveur WEB et contenant lidentification du serveur, de
la page ainsi que tout autre donne utile au concepteur du
site ou de lapplication.
CRITRES COMMUNS
Les Critres communs (pour la scurit des systmes

dinformation) sont une norme internationale. Cette norme
dfinit de faon standardise, dune part, des exigences
fonctionnelles de scurit visant des produits ou des
systmes tilisant les technologies de linformation et dautre
part des exigences dassurance de scurit, cest dire les
moyens que lon se donne pour vrifier la conformit de
ces produits ou systmes aux exigences fonctionnelles de
scurit. Fonds par la France, le Royaume-Uni,
lAllemagne, les tats-Unis et le Canada, les Critres
158
communs sont devenus une norme ISO (ISO 15408) depuis juin
1999. Les Critres communs fournissent galement un outil
appel profil de protection permettant aux utilisateurs de
prciser de faon gnrique leurs exigences de scurit relatives
une famille de produits ou de systmes.
CRYPTOGRAPHIE A CL
PUBLIQUE
Mode de chiffrement permettant deux correspondants de

saffranchir de lchange pralable de cls secrtes.
OU
CRYPTOGRAPHIE
ASYMETRIQUE
Autorit de
certification
documents
didentification,
bi-cl
certificat de cl
publique
A
B
B
B
messages signs
en utilisant
la cl prive
+ certificat
Comme lillustre le schma ci-dessus, on gnre pour chaque

internaute (personne physique ou morale) un couple de
clsindissociables :
-
la premire cl (cl prive) est un secret connu seulement

par son dtenteur, linternaute.
la seconde cl (cl publique), au contraire, est une donne
publique qui peut tre diffuse tous les interlocuteurs.
Lalgorithme de gnration des cls est tel quil est impossible

de retrouver la cl prive partir de la cl publique
correspondante. En outre, ce couple de cls ou bi-cl est conu
de telle sorte quun message crypt en utilisant lune des cls
peut tre dcrypt en utilisant lautre, et seulement lautre.
Deux cas de figure peuvent tre imagins: soit linternaute gnre
son bi-cl, en utilisant un dispositif considr par lautorit de
certification comme tant de confiance, soit lautorit le gnre
pour lui. Le premier cas prsente lavantage de ne pas requrir
la distribution de la cl prive gnre par lutilisateur. Des
procdures doivent cependant tre mises en place pour sassurer
de lunicit de la cl prive de lutilisateur. Le second cas met en
uvre des procdures de cration et de distribution de bi-cl,
ainsi que de suppression de la cl prive chez lautorit de
159
certification. Toutes ces procdures doivent tre hautement

scurises si on veut in fine pouvoir garantir que la cl
prive nest pas compromise.
Pour sidentifier lors de lenvoi dun message, A va crypter
ce message en utilisant sa cl prive. Tout dtenteur B de
la cl publique de A saura dcrypter le message envoy
par A et le lui attribuer.
Pour ce faire, il faut que B puisse faire le lien de faon
sre entre la cl publique de A et lidentit de A. Cest le
rle dune tierce partie de confiance que dapporter cette
assurance B en dlivrant un certificat tablissant le lien
entre la cl publique de A et son identit. On parle
dautorit de certification pour qualifier ce service rendu
la communaut des internautes.
CYBER-COMM
Lance en juin 1998, cyber-Comm, socit anonyme, fonde

sa solution de paiement scuris sur internet sur la carte
bancaire puce et commercialise un lecteur, qui a fait
lobjet dun profil de protection. La solution du lecteur de
cartes puces a t lance en avril 2000 et est soutenue
par la place (Crdit agricole, BNP-Paribas, Socit
gnrale, Banques populaires, Crdit commercial de
France, Crdit lyonnais et Crdit mutuel). Cette protection
est la condition pour que les banques puissent accorder
leur garantie aux commerants comme aux utilisateurs de
carte. Au tour de table, figurent galement La Poste,
ParisBourse, le Groupement CB, Europay International
(Eurocard, Mastercard) et Visa, ainsi que les industriels
Alcatel, Bull et Cap Gemini. En France, les 2 % de
transactions ralises par des canaux de vente distance
(VPC, minitel, tlphone, Internet) totalisent 50 % des
litiges de lensemble des paiements par carte bancaire.
DCSSI
Direction centrale de la scurit des systmes dinformation

du Secrtariat gnral de la dfense nationale. La DCSSI
est organisme de certification. ce titre, il a comptence
pour dlivrer des agrments aux centres dvaluation de la
scurit des technologies de linformation (CESTI).
DDOS
Distributed Denial Of Service. Technique dattaque

rpartie cherchant obtenir un dni de service.
DMZ
DeMilitarized Zone: zone dmilitarise. Zone dchange

entre deux rseaux de sensibilits diffrentes. Le contrle
des changes est assur par un dispositif de pare-feu.
DNS
Domain Name Server: service permettant la traduction
160
de ladresse IP dun ordinateur en son nom et inversement. Le

nom constitue un moyen mnmotechnique pour faciliter laccs
aux informations et lenvoi de messages.
DOS
Denial Of Service : dni de service
EDI
Echange de donnes informatises. Dialogue entre applications

informatiques (achats, commandes, facturations) de
partenaires conomiques (banques, entreprises).
ETEBAC 5
Protocole scuris de transfert de fichiers banques-entreprises,

utilis en particulier pour les oprations de gestion de trsorerie.
Ce protocole, normalis sur le plan domestique, assure grce
lusage de la cryptographie asymtrique et des cartes puces
un ensemble de fonctions de scurit: authentification
rciproque, intgrit, confidentialit et surtout nonrpudiation.
FAI
Fournisseur dAccs Internet: en anglais ISP Internet Service

Provider.
FIREWALL
Pare-feu. Solution hardware ou software, qui permet de contrler

les entres et sorties sur une liste de port. Un port est dsign par
un numro. Ces numros de port sont utiliss par les programmes
pour se connecter au rseau TCP/IP. Certains programmes
disposent dun numro de port bien connu pour tre facilement
utilisables. Ces programmes sont alors plus vulnrables et il est
ncessaire dempcher leur utilisation depuis lextrieur. Un parefeu permet de filtrer ces messages TCP/IP.
FPTI
Fdration des Professionnels des Tests Intrusifs.
FTP
File Transfer Protocol: protocole Internet permettant de

transfrer des fichiers. Il fonctionne en mode connect.
Gnralement, laccs est anonyme.
GAFI
Groupe daction financire mis en place au sommet de lArche

en 1989 par le G7, avec pour mission dune part dlaborer des
recommandations pour lutter contre le blanchiment de largent
sale que les tats membres pouvaient intgrer dans leurs droits
nationaux respectifs, dautre part de prendre les dispositions
ncessaires pour valuer lefficacit de ces rglementations
nationales et proposer des mesures complmentaires. Le GAFI
est compos de 26 membres, dont les 15 pays de lUnion
europenne.
GSM
Global System for Mobile communications: le GSM est la norme

europenne utilise en France et partout dans le monde par les
rseaux de tlphonie cellulaire. Le systme numrique GSM,
161
dploy en France en 1993, permet un accs trs large au

rseau tlphonique partir de terminaux portables
standardiss et largement diffuss dans le public. En dehors
des services de tlphonie classique et de tlcopie, les
GSM permettent lenvoi de messages courts (SMS pour
Short message services).
GTA
Lautorit de confiance mondiale, Global Trust authority,

GTA, laquelle sont affilies plus de huit cent banques
ainsi que diffrentes associations professionnelles, a t
lance le 6 septembre 1999. Ses membres fondateurs sont
la NATWEST, la ROYAL BANK of CANADA, la
SAKURA BANK, la SERMEPA (Espagne), la SIA (Italie),
le SIBS (Portugal), la SOCIETE GENERALE,
SWISSKEY, lABI (Italie), la BANK of IRELAND, la
BNP, les CARTES BANCAIRES, INTERPAY (Pays-Bas),
ISABEL (Belgique) et LA CAIXA. GTA, structure but
non lucratif, a pour objectif, en tant quautorit racine, de
faciliter les changes lectroniques interoprables
transfrontaliers en dfinissant des rgles fonctionnelles et
scuritaires communes, et en sassurant de la scurit, de
la garantie et de la confiance dans le systme.
HACKERS
Les hackers sont des pirates informatiques.
HBCI
HomeBanking Computer Interface. Avec la loi multimdia

daot 1997, lAllemagne a mis en place une infrastructure
de scurit ayant pour objet de crer la base juridique
garantissant la sret des signatures lectroniques. Afin
dharmoniser les diffrents systmes de scurit et
construire une plate-forme commune pour les changes
de donnes entre le client et ses banques un standard
unitaire a t notamment tabli au sein du Conseil central
du crdit. Sign en octobre 1997, laccord invitait
lensemble des tablissements de crdit respecter avant
octobre 1998 le standard HBCI. Dautres standards
existent: OFX et IFX. Open financial Exchange rsulte
de la fusion des standards OFC (de Microsoft, Open
exchange, dInduit) et des protocoles pour les oprations
bancaires et les paiements lectroniques de Chekfree. Cette
fusion a t opre pour constituer un standard technique
et de communication unique de banque sur internet.
HTTP
HyperText Transfer Protocol: protocole qui sert naviguer

dans World Wide Web. Un serveur www est un ordinateur
qui utilise le protocole HTTP.
HYPERTEXTE
Texte comportant des liens partir de mots ou dimages

affiches par le browser, permettant laffichage instantan
dun autre texte (ou dune autre partie du texte) quelle que
162
soit sa localisation. Un systme hypertexte est un logiciel capable

dafficher un tel document et de supporter le parcours non
linaire. Voir (http, hypertext transfer protocol).
ICMP
Internet Control Message Protocol. Le protocole ICMP est un

protocole qui permet de grer les informations relatives aux
erreurs des machines connectes. tant donn le peu de contrles
que le protocole IP ralise, il permet non pas de corriger ces
erreurs mais de faire part de ces erreurs aux protocoles des
couches voisines. Ainsi, le protocole ICMP est utilis par tous
les routeurs, qui lutilisent pour reporter une erreur (appel
Delivery Problem).
IDENTRUS
IDENTRUS est un club ferm entre grands tablissements de

crdit, but lucratif; contrairement GTA qui est ouvert et
but non lucratif. IDENTRUS offre un service de certification
valeur ajoute. Dune part, son service de certification
interentreprise est doubl dun scoring dentreprises, sur le
modle du service offert par WEBTRUST, qui a dvelopp une
fonction complmentaire daudit comptable. Dautre part, si un
litige relatif la garantie identitaire fournie par IDENTRUS est
lev, IDENTRUS fournit un processus de rsolution du litige.
IDENTRUS a t cre et est dtenue par des banques
essentiellement amricaines et allemandes, sous la forme dune
socit commerciale. Sa mission est de dvelopper une
infrastructure de confiance intgre. Sa structure repose sur des
contrats nous avec des banques, qui elles seules entretiennent
des relations avec leurs clients travers les diffrentes
applications quelles mettent en oeuvre. Il revient aux institutions
financires de dvelopper leurs propres applications qui doivent
rpondre aux normes dIDENTRUS, qui ne fournit in fine quune
plate-forme didentit.
INTERFACE
Dispositif grce auquel seffectuent les changes dinformations

entre deux systmes. Interface utilisateur: ensemble des moyens
de dialogue entre lutilisateur et lordinateur, regroupant lusage
des commandes.
INTERNET
Interconnected networks. Rseau mondial de fait form par

linterconnexion de lensemble des rseaux IP (Internet protocol),
cest dire fonctionnant sous le protocole de transmission TCP/
IP. Sur ces rseaux sont connects particuliers, entreprises,
administrations, universits, hackers Le principe dInternet
repose sur le fait que chacun des ordinateurs connects (appels
host) coopre au bon acheminement des messages. Les messages
contiennent ladresse de leur destination.
Lintranet se dit dun rseau utilisant les technologies Internet
(protocoles et applications TCP/IP) lintrieur dune
163
organisation (au niveau du rseau local, mais aussi au

niveau dun rseau grande distance priv).
LInternet Architecture Board IAB est le comit
scientifique qui dcide des normes essentielles pour le
rseau, en agissant au nom dune association but non
lucratif, lInternet Society, juridiquement responsable en
cas de litige. LIAB sappuie sur les conclusions des
groupes de travail runis au sein de lIETF (Internet
Engineering Task Force) et coordonns par un IESG
(Internet Engineering Steering Group). LIANA est
lorganisme mondial qui gre ladressage IP, adresses de
chaque ordinateur connect internet.
INTEROPRABILIT
Sens technique: capacit des dispositifs changer des

informations entre eux ou intgrer les mmes interfaces.
IP
Cest un des protocoles les plus importants dInternet car

il permet llaboration et le transport des datagrammes IP
(les paquets de donnes), sans toutefois en assurer la
livraison: le protocole IP traite les datagrammes IP
indpendamment les uns des autres en dfinissant leur
reprsentation, leur routage et leur expdition.
IRRVOCABILIT
Impossibilit pour lutilisateur ou le prestataire de refuser

de payer une transaction quil reconnat avoir faite. Il ne
peut notamment pas changer davis en raison dun
diffrend lopposant au commerant sur la qualit du bien
achet par exemple. La loi n 91-1382 du 30 dcembre
1991 dispose ce titre que lordre ou lengagement de
payer donn au moyen dune carte de paiement est
irrvocable ; il ne peut tre fait opposition au paiement
quen cas de perte ou de vol de la carte, de redressement
ou de liquidation judiciaire du bnficiaire.
KIOSQUE
Systme de paiement dans lequel un oprateur de

tlcommunication est mandat par un ou plusieurs
prestataires de services pour assurer le recouvrement et le
versement des sommes dues par les utilisateurs de ces
services au fournisseur du service.
MONNAIE
LECTRONIQUE
La monnaie lectronique est dfinie, daprs la directive

monnaie lectronique commeune valeur montaire
reprsentant une crance sur lmetteur, qui eststocke
sur un support lectronique, mise contre la remise de fonds
dun montant dont la valeur nest pas infrieure la valeur
montaire mise, accepte comme moyen de paiement par
des entreprises autres que lmetteur.
164
Lorsque le support dans lequel est incorpor le pouvoir

dachat (la crance sur lmetteur) est une carte
microprocesseur, on parle de porte-monnaie lectronique
(PME). Lorsquil sagit dun PC ou dun serveur accessible par

lintermdiaire dun PC connect linternet, on parle
gnralement de porte-monnaie virtuel (PMV).
MOTEUR DE RECHERCHE Logiciel qui permet de retrouver des fichiers de diverses natures
notamment des pages html partir de mots-cls ou dexpressions.
NAS
Network Access Serveur: serveur daccs distant. Routeur

quip de modems permettant linterconnexion entre le systme
dinformation et les quipements distants raccords via une ligne
tlphonique (analogique ou numrique).
NAT
Network Translation Adress: translation dadresse. Mcanisme

permettant de masquer le plan dadressage utilis par la
translation dynamique des adresses dun plan dadressage vers
un autre.
NON-RPUDIATION
Impossibilit pour lutilisateur ou le prestataire de nier quil est

lauteur de la transaction et que celle-ci existe bien. A distinguer
de lirrvocabilit.
NUMRIQUE
Digital en anglais. Se dit dun signal qui ne peut prendre quun

nombre fini de valeurs. La transmission numrique ne prend
que deux valeurs: 0 ou 1. Signal binaire utilis dabord pour
linformatique et qui stend prsent lensemble des
communications.
NUMRO BRL
Mcanisme impos par la lgislation franaise ayant pour objectif

de limiter les appels nuisants. Le numro appel est enregistr
dans une liste interne au modem au-del dun certain nombre
dappels infructueux.
OPRATEUR DE
CERTIFICATION
Il fabrique le certificat cl publique partir du message envoy

par lautorit denregistrement. Il le signe, en assure la
publication et gre sa rvocation ventuelle.
PAGE HTML
Une page html (HyperText Markup Language) est un fichier

contenant des marques html utiliss par le browser pour afficher
correctement du texte, des images, de la vido Parmi les
marques html, certaines marques -marques hypertextespermettent de faire le lien avec dautres pages quelle que soit
leur localisation. Ces marques hypertextes contiennent la
localisation des pages lies sous la forme dune adresse URL.
Le protocole de diffusion des pages html est http.
PORTE-MONNAIE
ELECTRONIQUE
Voir monnaie lectronique
PORTE-MONNAIE
VIRTUEL
Voir monnaie lectronique
165
PROFIL DE PROTECTION
Un profil de protection (PP) est un cahier des charges en

matire de scurit visant une famille de produits et rdig
dans le formalisme des Critres Communs. Il dcrit la
cible dvaluation (appele TOE, pour target of evaluation),
son environnement scuritaire, ainsi que les objectifs de
scurit et les exigences de scurit lies la cible. Un PP
est valu et enregistr par lorganisme de certification
(DCSSI). Diffrents PP existent : PP cartes puce, PP
change de donnes informatises, PP Billtique, PP
firewalls, PP messagerie lectronique, PP site web
institutionnels, PP porte monnaie lectronique
PROTOCOLES
Un protocole est une convention prcisant des rgles et

des spcifications techniques respecter dans le domaine
des tlcommunications afin dassurer linteroprabilit
des systmes. Il existe diffrentes couches de protocoles
rpondant des besoins diffrents : protocoles de transport
de donnes, protocoles applicatifs, etc. De nombreux
protocoles sont normaliss, ce qui leur assure une
reconnaissance nationale ou internationale.
PROXY
Programme qui tourne sur un pont ou une passerelle et qui

bloque le passage direct des paquets entre le client et le
serveur et nautorise le passage que de certains paquets.
PSC
Prestataires de services de certification. Ce terme gnrique

vis par la directive signature lectronique recoupe les
diffrents mtiers de la certification: oprateurs de
certification, autorits denregistrement, de
certification et dattribution. En France, la Poste en
partenariat avec la SAGEM et en accord avec les Chambres
de commerce et dindustrie a cr CERTINOMIS.
CERTPLUS, oprateur de certification cre par
GEMPLUS, VERISIGN, France TELECOM et MATRA
HAUTES TECHNOLOGIES a t retenu par CYBERComm pour mettre les certificats SET dont auront besoin
les commerants pour tre reconnus dans lunivers du
commerce lectronique. GEMPLUS propose avec
GEMSAFE une solution organise autour dun lecteur de
carte et dune carte puce sur laquelle sont stocks un
couple cl prive / cl publique et le certificat qui aura t
sign par CERTPLUS. Aux tats-Unis, lABA (American
bankers association) en partenariat avec DIGITAL
SIGNATURE TRUST Cie a lintention de devenir autorit
de certification pour lindustrie de services financiers. En
outre, VERISIGN a sa propre hirarchie et VISA,
MASTERCARD, AMEX et DINERS ont dvelopp une
hirarchie de type SET. Deux projets dautorits mondiales
dans le secteur financier ont t dvelopps: GTA et
IDENTRUS.
166
RNIS
Rseau Numrique Intgration de Services: rseau

tlphonique numrique.
RSA
Systme algorithme de cryptage asymtrique mis au point au

MIT en 1977. Une cl publique permet de coder le message que
le destinataire pourra dchiffrer laide dune cl prive quil
est seul dtenir. Voir cryptographie cl publique.
RTC
Rseau Tlphonique Commut:rseau de tlphone analogique
SET
Le protocole SET (Secure Electronic Transactions) repose sur

lidentification des parties en prsence et la saisie des rfrences
de la carte du client hors connexion. SET permet la confidentialit
de la transmission, la conservation de lintgrit des instructions
de paiement par signature lectronique et lauthentification
mutuelle du client et du commerant. SET soriente vers la
combinaison des scurits logicielle et matrielle, avec
lutilisation de la carte puce (voir CYBER-Comm) afin
dassurer la non-rpudiation des transactions. La transaction nest
pas rpudiable et le serveur du commerant ne peut interfrer
dans la transmission de lordre de paiement la diffrence de
SSL.
SIM
La carte SIM est une carte micro-processeur. En dehors de ses

fonctions de stockage de donnes et de scurit, elle peut
galement excuter des applications. La carte SIM est ainsi une
plate-forme intelligente permettant de fournir des services forte
valeur ajoute.
SITES PORTAILS
Un portail rassemble autour dune page de nature informative

un ensemble de liens hypertextes vers les sites de prestataires
partenaires. Yahoo, AOL sont les portails gnralistes grand
public les plus connus. En matire bancaire et financire,
diffrents projets se dveloppent sur la place. Le plus avanc est
Ze Project, partenariat entre Europaweb et DEXIA. En
permettant une grande libert de choix entre diffrentes offres,
les portails vont aviver la concurrence.
SMS
Short message service. Voir GSM
SMTP
Simple Mail Transfer Protocol: protocole dchange de message

selon le principe stockage puis transmission. Il est utilis
essentiellement entre deux passerelles de messagerie,
ventuellement pour une remise locale.
SSL
Secure Socket Layer: protocole de transport assurant un service

dauthentification, dintgrit et de confidentialit en mode point
point indpendamment des caractristiques du rseau sousjacent.
167
SWIFT
Society for worldwide interbank financial

telecommunication, rseau international pour le traitement
des oprations financires transfrontalires entre
institutions financires.
TCP
Transmission Control Protocol: le Protocole de Contrle

de Transmission est un des principaux protocoles de la
couche transport du modle TCP/IP. Il permet, au niveau
des applications, de grer les donnes en provenance (ou
destination) de la couche infrieure du modle (cest-dire le protocole IP). TCP est un protocole orient
connexion, cest--dire quil permet deux machines qui
communiquent de contrler ltat de la transmission.
TCP/IP
Transmission Control Protocol/Internet Protocol:

protocole de communication entre les diffrents ordinateurs
connects Internet. Il assure la commutation des paquets
sur le rseau et contrle lintgrit des informations au
dpart et larrive. Il est utilis pour des applications
telles que HTTP, FTP, SMTP.
TEST DINTRUSION
Appel galement analyse de pntration. Un test

dintrusion est un essai dintrusion prvu, conu pour
estimer la scurit dun rseau et identifier ses
vulnrabilits.
TLS
Transport Layer Security. Normalisation par lIETF du

protocole SSL (Netscape)
TRANSPAC
Rseau mis en place partir de 1975 par la France pour

permettre les changes entre les ordinateurs selon la norme
X 25. Transpac est une filiale de France Tlecom.
UDP
User Datagram Protocol : protocole de communication

de niveau 4 en mode non connect. Les datagrammes sont
achemins vers des ports UDP, reprs par une adresse IP
(32 bits) et un numro de port local (16 bits). Les
applications prennent en charge les problmes de correction
derreurs et de contrle de congestion. Il est utilis pour
des applications telles que SNMP (Simple Network
Management Protocol) ou DNS.
URL
Universal Resource Locator: chemin universel de

ressources qui indique o se trouvent les informations
WWW et quel est le protocole utilis. Nom normalis pour
identifier un objet sur Internet.
VIRUS
Partie dun programme dordinateur qui se duplique luimme en sincrustant dans dautres programmes. Quand
ces programmes sont excuts, le virus est encore appel
et peut se propager davantage.
168
VPN
Virtual Private Network: rseau priv virtuel, concept recouvrant

tout rseau privatif construit sur un rseau public. Par extension,
un VPN dispose gnralement de son propre plan dadressage et
de fonctions de scurit visant protger la confidentialit des
donnes transportes.
WAP
La technologie WAP permet daccder directement lInternet

partir dun tlphone portable. Le dbit des donnes sur les
rseaux GSM et les formats des crans des tlphones portables
contraignent encore fortement cette technologie qui devra
attendre les nouveaux rseaux haut dbit et les nouvelles
gnrations de tlphones portables pour trouver les conditions
de son dveloppement. Dans lunivers des portables WAP, un
langage spcifique, Wireless markup Language (WML) se
substitue au protocole HTML (voir page). Une passerelle la
jonction des rseaux internet et GSM fait la transcription en WML
des pages HTML. Un browser spcifique est inclus dans la carte
SIM et permet de se dplacer de site en site.
WEB
Toile daraigne mondiale, World wide web (WWW). Fond sur

une architecture client-serveur, ce systme hypermdia intgre
des fonctions de lInternet (courriers lectroniques, forums,
tlchargement de fichiers et consultation de serveurs
dinformations) en ajoutant des dimensions hypertexte et
multimdia.
X 25
Protocole de communication commutation de paquets en mode

connect. Cette technologie optimise lutilisation de la bande
passante du rseau par un partage des ressources disponibles.
169
ANNEXE 4
BIBLIOGRAPHIE INDICATIVE
TEXTES DE REFERENCE DES AUTORITES FRANCAISES
COMIT DES TABLISSEMENTS DE CRDIT ET DES ENTREPRISES

DINVESTISSEMENT (Rapport au), La libre prestation de services en matire de services
dinvestissement, novembre 1998, rapport disponible sur www.banque-france.fr/
informations bancaires et financires.
COMMISSION BANCAIRE, Rapport annuel 1999, Les nouvelles technologies de la

banque distance, quelles consquences pour les tablissements financiers et leurs autorits
de contrle?, juillet 2000.
COMMISSION BANCAIRE, Livre blanc sur la scurit des systmes dinformation,

1996.
CONSEIL DTAT, section du rapport et des tudes, Internet et les rseaux numriques,
juillet 1998, rapport disponible sur le site www.internet.gouv.fr.
COMMISSION DES OPRATIONS DE BOURSE, Les marchs financiers lheure

dInternet, VIIIme entretiens de la COB, Bulletin COB n 329 novembre 1998, disponible
sur le site de la COB, www.cob.fr.
COMMISSION DES OPRATIONS DE BOURSE, recommandation n 99-02 relative

la promotion ou la vente de produits de placement collectif ou de services de gestion
sous mandat via Internet, 3 septembre 1999 et recommandation n 2000-02 relative la
diffusion dinformations financires sur les forums de discussion et les sites Internet ddis
linformation ou au conseil financierdisponibles sur www.cob.fr.
CONSEIL DES MARCHES FINANCIERS, dcision n 99-07 relative aux prescriptions

et recommandations pour les prestataires de services dinvestissement offrant un service
de rception-transmission ou dexcution dordres de bourse comportant une rception
des ordres via Internet, septembre 1999. Cette recommandation est disponible sur le site
du CMF, www.cmf-France.org.
CONSEIL NATIONAL DU CRDIT ET DU TITRE, La banque lectronique, aot

1997.
171
TEXTES DE REFERENCE DAUTORITES ETRANGERES
OFFICE OF THE COMPTROLLER OF THE CURRENCY, the report of the consumer

electronic payments task force, avril 1998.
OCC ALERT 2000-14, Infrastructure threats intrusion risks, 15 mai 2000.
OCC ALERT 2000-1, Internet security: distributed denial of service attacks. 11 fvrier
2000. Ces recommandations sont disponibles sur le site www.occ.treas.gov.
OCC, Internet banking, Comptrollers handbook, octobre 1999.
FEDERAL DEPOSIT INSURANCE CORPORATION (FDIC), risk assessment tools

and practices for information system security, FIL-68-99, juillet 1999.
FDIC, Electronic banking examination procedures, fvrier 1997. Ces documents sont
disponibles sur le site www.fdic.gov.
SECURITIES AND EXCHANGE COMMISSION, Use of Internet web sites to offer

securities, solicit securities transactions or advertise investment services offshore, 23
mars 1998. Cette recommandation est disponible sur le site de la SEC www.sec.gov. De
nombreuses dcisions y sont galement publies.
BANK OF JAPAN, The importance of information security for financial institutions

and proposed countermeasures, avril 2000, disponible sur le site www.boj.or.jp.
RAPPORTS
ORGANISATION INTERNATIONALE DES COMMISSIONS DE VALEURS,

Internet et les services financiers, septembre 1998.
EUROPEAN CENTRAL BANK, The effects of technology on the EU banking system,

juillet 1999. Rapport disponible sur le site www.ecb.int.
EUROPEAN COMMITTEE FOR BANKING STANDARDS, Technical report on

electronic banking, TR 600, octobre 1999. Rapport disponible sur www.ecbs.org.
EUROPEAN COMMITTEE FOR BANKING STANDARDS, Certification authorities,

TR 402 juillet 1999.
BASLE COMMITTEE FOR BANKING SUPERVISION, risk management for

electronic banking and electronic money activities, mars 1998, disponible sur www.bis.org
et Electronic Banking Group Initiatives and White Papers, octobre 2000
172
SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

Ralisation et mise en page latelier de reprographie du SGCB
Directeur de la publication : Jean-Louis FORT,

Secrtaire gnral de la Commission bancaire

LB Banque ET Internet

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

LB Banque ET Internet

Uploaded by

Copyright:

Available Formats

LIVRE BLANC

quelles consquences prudentielles ?

La Banque de France et le Secrtariat gnral de la Commission bancaire

Recommandations aux dirigeants des tablissements de crdit et des

Recommandations la place ............................................................................... 16

Recommandations dans le cadre des travaux internationaux mens par les

Laccs lexercice dactivits bancaires et financires sur Internet .............. 17

1.1. La caractrisation de lexercice dune prestation en France ................................................................... 17

Le contrle interne et la lutte contre le blanchiment ........................................ 23

3.1. Les risques soulevs par lInternet ..................................................................................................... 23

PREMIRE PARTIE ...................................................................................... 27

Lexercice dactivits bancaires et financires sur Internet introduit-il une

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

Les conditions daccs lactivit bancaire ou financire sur Internet .......... 35

2.1. La capacit agir du prestataire ............................................................................................................. 35

Le cadre dexercice de lactivit bancaire ou financire sur Internet ............. 56

3.1 Essai dune typologie des relations prestataire/client ............................................................................. 56

DEUXIME PARTIE ..................................................................................... 69

Les risques financiers ........................................................................................... 72

Les risques oprationnels..................................................................................... 74

5.1. La scurit juridique ............................................................................................................................... 74

Les risques sur les clients et sur les contreparties ............................................. 85

6.1 Lanonymat du client .............................................................................................................................. 85

TROISIME PARTIE ..................................................................................... 87

Assise financire et suivi de la rentabilit .......................................................... 91

7.1. Vrification au moment de lagrment de la solidit de la structure financire ..................................... 91

La matrise des risques oprationnels ................................................................ 96

la matrise du risque sur les clients ................................................................... 133

CONCLUSION ................................................................................................................ 143

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

SOMMAIRE DES ENCADRS

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

Selon lAssociation franaise des banques/IDC

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

En premier lieu, Internet, comme canal de distribution des services bancaires et

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

Le Livre blanc se veut pdagogique. Il rappelle avec prcision ltat du droit et de la

Rapport du groupe Banque lectronique du Comit de Ble doctobre 2000.

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

Outre des risques essentiellement oprationnels, Internet introduit une incertitude en

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

De graves dysfonctionnements rencontrs par un service bancaire ou financier en ligne

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

RECOMMANDATIONS DU LIVRE BLANC

1. Recommandations aux dirigeants des tablissements

en matire de contrle interne

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

par ltablissement (points 5.3, page 76 et 8.3.3., page 113) ;

la dfinition dune rfrentiel de scurit de place et la mise en place dune

participer au sein du Comit franais dorganisation et de normalisation bancaire (CFONB)

la mise en place dinfrastructures de scurit.

rechercher linteroprabilit des autorits de certification; la cryptographie clef publique,

3. Recommandations dans le cadre des travaux

dvelopper la notion de sites actifs et de sites passifs en la dfinissant prcisment afin de

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

1.1. La caractrisation de lexercice dune prestation en France

La notification de libre prestation de services pour les tablissements de lespace

Le cas dun tablissement dun pays tiers lespace conomique europen

Le mme faisceau dindices serait utilis pour dterminer si un tablissement dun

1.2. Le cadre juridique relatif la sollicitation de la clientle (publicit

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE

mettre en uvre des pratiques rprhensibles en France. Il est important, en ltat de la

1.3. Lidentification des services offerts sur Internet

LIVRE BLANC - BANQUE DE FRANCE - SECRTARIAT GNRAL DE LA COMMISSION BANCAIRE