L’empreinte bancaire

L'empreinte bancaire, c'est quand un commerçant prélève ou enregistre les données de votre carte bancaire (comme le numéro, la date de validité, etc.) sans forcément débiter tout de suite, souvent pour garantir une réservation.

Cela ne vaut pas forcément autorisation de paiement : si le commerçant utilise ces données pour prélever de l’argent sans votre accord ou différemment de ce qui était prévu, il peut s’agir d’une utilisation frauduleuse, et vous pouvez contester le paiement auprès de votre banque, surtout si vous n’avez pas donné votre code secret ni validé le paiement.

1. Définition de l’empreinte bancaire

L’empreinte bancaire désigne généralement la procédure par laquelle un commerçant recueille les données d’une carte bancaire, le plus souvent lors de la location d’un bien (véhicule, chambre d’hôtel, etc.), pour garantir le paiement de sommes éventuellement dues ultérieurement. Cette prise d’empreinte n’emporte pas immédiatement débit, mais autorise un prélèvement en cas d’impayé ou de dommage constaté.

Il existe une analogie avec le chèque de garantie : Le recours à cette technique, ou celle sur ce point similaire de la remise par l’émetteur d’une carte bancaire d’une empreinte signée, nécessite que le débiteur ait confiance en son créancier.

2. Quelles sont les règles applicables à la prise d’empreinte bancaire ?

Lorsqu’un titulaire de carte bancaire utilise l’empreinte de sa carte avec sa signature pour louer un bien (exemple : véhicule), la banque doit vérifier la régularité formelle du bordereau carte bancaire, mais elle n’est tenue à une obligation de vigilance accrue que si les falsifications sont manifestes sur l’exemplaire destiné au centre de traitement.

L’opposition au paiement par carte n’est recevable que dans certains cas précis (perte, vol, soustraction de la carte), et doit être confirmée par lettre remise ou expédiée en recommandé au guichet de la banque.

En cas de contestation, la banque n’est pas tenue de répondre à tous les arguments du titulaire, notamment la gravité du montant, si la falsification n’est pas évidente.

3. Quelles sont les obligations de sécurité et de confidentialité imposées lors de la conservation ou de l’enregistrement d’empreintes bancaires dans le cadre d’une vente à distance ?

La CNIL impose que les données bancaires ne soient conservées que durant la période nécessaire à la finalité pour laquelle elles sont collectées ; la conservation du cryptogramme après la première transaction est interdite.

Les responsables de traitement doivent utiliser des services de paiement sécurisés et conformes à la réglementation, mettre en place une politique stricte des habilitations et des mesures d’obfuscation ou de tokenisation des numéros de carte.

Toute violation de données bancaires doit être notifiée à la CNIL et aux personnes concernées, pour leur permettre de limiter les risques de réutilisation frauduleuse.

4. L’empreinte bancaire (prise d’une empreinte de carte) comme garantie contractuelle peut-elle faire l’objet d’une opposition en cas d’utilisation non conforme par le commerçant, et quel est le régime applicable en matière de responsabilité ?

Le titulaire d’une carte bancaire qui a laissé une empreinte à titre de garantie et dont les données sont utilisées en dehors de l’accord des parties peut tenter de faire jouer l’article L. 132-4 du Code monétaire et financier, qui protège contre l’utilisation frauduleuse des données de la carte pour un paiement à distance sans utilisation physique de la carte.

En cas de contestation écrite du paiement, les sommes doivent être restituées sans frais dans le délai d’un mois, la réalité de la fraude étant débattue ultérieurement.

La charge de la preuve de l’authentification et de l’autorisation de l’opération pèse sur le prestataire de services de paiement.

5. Comment la réglementation européenne (DSP2) encadre-t-elle la sécurité et l’authentification lors de la prise d’empreinte bancaire, notamment dans le contexte des paiements en ligne ou à distance ?

La DSP2 impose l’authentification forte du client lors de l’initiation d’une opération de paiement électronique, c’est-à-dire l’utilisation d’au moins deux éléments indépendants parmi la connaissance, la possession, et l’inhérence.

Les prestataires de services de paiement doivent prouver que l’opération contestée a été authentifiée et dûment enregistrée

Les normes techniques européennes précisent les exceptions à l’authentification forte, notamment pour les paiements de faible montant.

6. Quelles sont les conséquences juridiques en cas de fraude ou d’utilisation abusive de l’empreinte bancaire, pour le commerçant, la banque, ou le titulaire de la carte ?

Toute utilisation frauduleuse des données liées à la carte bancaire, y compris l’empreinte, engage la responsabilité de l’auteur de la fraude et peut constituer une infraction pénale, notamment pour contrefaçon ou utilisation frauduleuse des données.

La responsabilité du titulaire n’est pas engagée en cas d’utilisation frauduleuse à distance sans utilisation physique de la carte, et les sommes contestées doivent être remboursées sans délai.

Le commerçant et le sous-traitant sont tenus de mettre en œuvre toutes les mesures techniques pour prévenir la réutilisation illégitime des données bancaires.

7. Synthèse : Précautions à prendre et recours

L’empreinte bancaire engage le titulaire en cas de contestation, sous réserve de pouvoir prouver la fraude ou l’usage abusif par le commerçant.

L’opposition n’est recevable que dans des cas précis (perte, vol, utilisation frauduleuse).

La protection du consommateur est renforcée en cas d’utilisation des données à distance ou sans son autorisation.

Il est essentiel de vérifier que le commerçant respecte la réglementation sur la conservation et la sécurité des données issues de l’empreinte.

Conclusion

L’empreinte bancaire est un outil de garantie utilisé dans de nombreux secteurs, mais son usage est strictement encadré. Les droits du titulaire de la carte sont protégés par un ensemble de règles spécifiques, notamment en matière d’opposition, de contestation et de protection des données personnelles.

En cas de litige, il est conseillé de saisir rapidement la banque et, si nécessaire, de produire une contestation écrite pour faire valoir ses droits.