Vis à vis de son client professionnel, la responsabilité du prestataire peut aussi être recherchée non en sa qualité de prestataire de services de paiement au sens du code monétaire et financier mais en en tant que fournisseur d’une interface de programmation pour l’utilisation de laquelle elle a continué à donner des conseils à son client en cours d’exécution du contrat.

En la cause, malgré l’analyse rassurante de la société sur la responsabilité des banques et l’activation du 3D Secure, les fraudes à la CB sur le site du Client se sont poursuivies et l’utilisation inadéquate de son interface n’a pas permis d’enrayer ce phénomène de sorte que la société cliente a été contrainte de rembourser une partie du montant issu de la fraude aux utilisateurs.

Contrairement à ce que soutient le prestataire, sa société cliente avait émis le souhait d’un niveau de sécurisation important et ne peut être considérée, alors qu’en tant que prestataire de services elle l’invitait constamment à baisser son niveau de sécurisation afin d’avoir un rendement optimal, comme une professionnelle avertie dûment informée des risques d’un tel choix.

Pour rappel, en tant que prestataire de services de paiement, Le Prestataire est responsable à l’égard de l’Acheteur et/ou du Client, selon les cas, en cas d’opération de paiement non autorisée ou d’opération de paiement mal exécutée dans les conditions prévues aux articles L. 133-18 et suivants du Code monétaire et financier.

Conformément à l’article L. 133-22 du code monétaire et financier, Le Prestataire est responsable, sous réserve des articles L. 133-5 et L. 133-21 du code monétaire et financier, de la bonne exécution de l’opération de paiement à l’égard de l’Acheteur jusqu’à réception des fonds par le Client, bénéficiaire du paiement. Lorsque Le Prestataire est responsable d’une opération de paiement mal exécutée, Le Prestataire restitue sans tarder son montant à l’Acheteur et rétablit le compte débité dans la situation qui aurait prévalu si l’opération de paiement mal exécutée n’avait pas eu lieu. »

A toutes fins utiles, la clause suivante de 3D Secure peut être adaptée entre les Parties :

Le Prestataire, établissement de paiement offre au Client les services de paiement suivants :

Acquisition des ordres de paiement lui permettant :

* d’encaisser, via la Solution, les montants correspondant aux Transactions réalisées par les Acheteurs en contrepartie des Produits proposés par le Client ; et

* de procéder à des Remboursements, via la Solution ;

Virement de fonds associés au Compte Client permettant au Client d’ordonner le transfert de tout ou partie de son Solde vers son Compte Bancaire. »

La tarification est ainsi prévue : le service assuré par la société Le Prestataire est rémunéré par un pourcentage proportionnel aux frais de transaction allant de 0,8 % pour les achats effectués par des acheteurs disposant d’une carte française, de 1,05 % pour les achats effectués par des acheteurs disposant d’une carte de la zone euro, et de 2,5 % pour les achats effectués par des acheteurs disposant d’une carte extérieure à la zone euro, et par une commission fixe de 0,15 euro par transaction réussie.

Le Prestataire permet au Client d’encaisser des Transactions via des liens de paiement dynamiques qu’il peut intégrer à son site ou générer à la volée.

Le Prestataire peut être amené à proposer au Client la possibilité d’enregistrer une Carte pour réaliser des Transactions ultérieurement.

Une authentification de l’Acheteur selon les modalités dites de « 3D Secure » peut être déclenchée à l’initiative du Prestataire si le montant, les conditions de la Transaction ou les informations disponibles le justifient. Le Prestataire peut, pour chaque Transaction, décider d’utiliser ou non une authentification. Le Client ne peut en aucun cas contester ou exiger un changement des règles d’authentification appliquées par Le Prestataire. Toutefois, si le Client le souhaite et si Le Prestataire n’y voit pas d’objection, il pourra être conjointement décidé d’appliquer systématiquement des règles d’authentification pour toutes les Transactions reçues par le Client ».

Concernant le 3D-Secure, un score de risque est calculé par Le Prestataire et si vous activez l’option 3D-Secure depuis l’onglet Paramètres de votre interface, seuls les paiements les plus risqués feront l’objet d’un 3D-Secure. De cette façon, vous limitez le risque de fraude, tout en évitant les étapes inutiles pour les paiements à faible risque. Vous conjuguez maîtrise des risques et optimisation de la conversion.

Pour sécuriser les paiements les plus importants, même si vous activez le 3D-Secure, tous vos paiements resteront systématiquement soumis au 3D-Secure au-delà d’un certain montant. Ce plafond de montant est indiqué dans l’option 3D-Secure de l’onglet Paramètres de votre interface. Si vous souhaitez demander à ce qu’il soit révisé, vous pouvez nous contacter.

Il existe cinq niveaux du 3D-Secure, avec la mention suivante :

En-dessous de votre plafond de montant, vos paiements seront dirigés ou non vers le 3D-Secure en fonction de leur score de risque calculé par Le Prestataire. Si le score de risque est élevé, le 3D-Secure sera activé, et si le score de risque est faible, le 3D-Secure sera désactivé.

Le score de risque calculé par notre algorithme est un pourcentage : à 100% l’algorithme est pratiquement certain que le paiement est réalisé par un fraudeur, et à 0% l’algorithme est pratiquement certain que le paiement est réalisé par un acheteur honnête.

Il appartient au Client de déterminer le score de risque au-dessus duquel vous souhaitez que vos paiements fassent l’objet d’un 3D-Secure.

Pour bien choisir votre niveau 3D-Secure »

Placez le curseur au niveau qui vous paraît correspondre le mieux à votre profil. Si vous souhaitez maximiser vos ventes, placez le curseur au niveau 5 pour limiter autant que possible l’utilisation du 3D-Secure. Si vous voulez avant tout éviter les impayés, alors adoptez un profil plus conservateur en choisissant un niveau plus bas. »

Si vous voulez vraiment limiter au maximum le risque d’impayé, il vous reste toujours l’option d’activer le 3D-Secure de manière systématique dans l’onglet Paramètres de votre interface.

Le calcul de score de risque réalisé par Le Prestataire est précis, mais il n’est pas infaillible. Il est possible qu’un paiement soit scoré à faible risque de fraude, mais qu’il s’agisse du mauvais numéro : un fraudeur particulièrement habile qui a réussi à déjouer nos algorithmes et se faire passer pour un acheteur honnête.

Le Client confirme et accepte que Le Prestataire n’est que le fournisseur de la solution de paiement et est donc tiers extérieur à la relation commerciale existant entre le Client et son Acheteur.

Chaque Client déclare être informé des contraintes et des limites des réseaux Internet et ne pourra en aucun cas rechercher la responsabilité du Prestataire au titre de dysfonctionnements dans l’accès à leurs services, à la Solution, à l’Application et/ou au Site, des vitesses d’ouverture et de consultation des pages des services, de l’inaccessibilité temporaire des services, de l’utilisation frauduleuse par des Clients ou des tiers des services, dans le cas où des liens hypertextes présents sur le Site ou l’Application renvoient sur d’autres sites internet dont le contenu contrevient aux législations en vigueur ou dont la visite par un Client ou un tiers lui causerait un quelconque préjudice.

Il est de la responsabilité de chaque Client de protéger son matériel informatique, son site internet ou autre matériel notamment contre toute forme d’intrusion et/ou de contamination par des virus, la responsabilité du Prestataire en pouvant être recherchée en cas de dysfonctionnement ou de détérioration du matériel ou du site internet d’un Client. (‘).

La responsabilité du Prestataire ne saurait davantage être engagée dans le cas d’un phishing (génération de eCarte Bancaire via un vol de code d’accès à un compte bancaire en ligne, avec ou sans utilisation de faux documents) ou d’une opération de Carding (vol de carte bancaire, usurpation de codes 3D Secure) résultant d’une escroquerie en bande organisée ».

En tant que prestataire de services de paiement, Le Prestataire est responsable à l’égard de l’Acheteur et/ou du Client, selon les cas, en cas d’opération de paiement non autorisée ou d’opération de paiement mal exécutée dans les conditions prévues aux articles L. 133-18 et suivants du Code monétaire et financier. Toutefois, par dérogation aux dispositions de l’article L. 133-24 du Code monétaire et financier, toute opération de paiement non autorisée ou mal exécutée devra être signalée à Le Prestataire dans un délai de trente (30) jours à compter du jour où le Client en a eu connaissance ou est présumé en avoir eu connaissance, sous peine de forclusion de son action.

Dans tous les autres cas, la responsabilité du Prestataire au titre des présentes ne pourra excéder à l’égard du Client, un montant égal aux frais de toute nature perçus par Le Prestataire auprès de ce Client au titre des présentes au cours des six (6) mois précédant la date de réalisation du fait dommageable, dans la limite d’un plafond global de …. Euros et ne peut être engagée qu’au titre d’un préjudice direct, personne et certain. (…) »

Conformément à l’article L. 133-22 du code monétaire et financier, Le Prestataire est responsable, sous réserve des articles L. 133-5 et L. 133-21 du code monétaire et financier, de la bonne exécution de l’opération de paiement à l’égard de l’Acheteur jusqu’à réception des fonds par le Client, bénéficiaire du paiement. Lorsque Le Prestataire est responsable d’une opération de paiement mal exécutée, Le Prestataire restitue sans tarder son montant à l’Acheteur et rétablit le compte débité dans la situation qui aurait prévalu si l’opération de paiement mal exécutée n’avait pas eu lieu. »