275. Le poids du commerce électronique – Le chiffre d’affaires du commerce électronique pour l’année 2016 s’établit à 72 milliards d’euros : le double de ce qu’il représentait à peine cinq ans plus tôt ¹Fédération e-commerce et vente à distance (FEDAV), Les chiffres clés 2016/2017.. Cette impressionnante statistique laisse pourtant de côté les contrats de prestation de service conclus en contemplation d’une contrepartie non monétaire, comme l’accès à des données personnelles. On imagine que des échanges économiques d’une telle ampleur ne pourraient avoir lieu sans le soutien d’un droit de la preuve parfaitement adapté, manié par les professionnels avec la plus grande rigueur, de sorte qu’il soit toujours possible de démontrer en justice que telle convention affichant tel contenu a été conclue entre telles parties ²Les développements qui vont suivre sont largement nourris de notre étude « Réflexions sur la preuve et l’imputabilité des contrats électroniques », RLDI, janvier 2013, n° 89, p. 78.. Est-ce bien le cas ?

Le droit français s’est attaché à fournir les textes nécessaires. Le droit de la preuve littérale fut d’abord refondu par une loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique ³Loi n° 2000-230, sur laquelle V. not. : F. Schwerer, « Réflexions sur la preuve et la signature dans le commerce électronique », CCE, déc. 2000, chron. 16., loi complétée par un décret d’application relatif à la signature électronique ⁴Décret n° 2001-272.. Dès lors, il devenait possible d’utiliser un écrit numérique aussi bien qu’un écrit papier… du moins lorsqu’un écrit était exigé à titre de preuve, et non érigé en condition de validité. Cette ultime infériorité de l’écrit électronique fut rapidement gommée : une loi du 21 juin 2004 pour la confiance dans l’économie numérique permit qu’on l’utilisât y compris lorsqu’il était requis ad validitatem ⁵Loi n° 2004-575. Cette loi transposait elle-même une directive du 8 juin 2000, n° 2000/31/ce, du parlement européen et du conseil, relative a certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marche intérieur. Sur cette loi, V. not. P. Stoffel-Munck, « LCEN. La réforme des contrats du commerce électronique », art. préc. ; J. Rochfeld, « La loi n° 2004-575 du 21 juin 2004 pour la confiance en l’économie numérique », RTD. civ., 2004, p. 574.. Le même texte donna naissance à un chapitre du Code civil consacré aux contrats électroniques. Ledit chapitre fut remanié et complété par une ordonnance du 16 juin 2005 relative à l’accomplissement de certaines formalités contractuelles par voie électronique ⁶Ordonnance n° 2005-674.. Enfin, la récente réforme du droit des contrats déplaça les textes dans le plan du Code, sans en altérer la substance ⁷Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations. Aujourd’hui, le chapitre consacré à la « formation du contrat » (chapitre II, sous-titre 1^er, titre III du Code civil) consacre des « dispositions propres au contrat conclu par voie électronique » dans sa section 3 « la forme du contrat », aux articles 1174 et s..

Ce vaste arsenal législatif et réglementaire est-il propre à procurer une parfaite sécurité juridique aux professionnels et consommateurs désireux de conclure des transactions par voie électronique ?

276. Preuve par le client – Nous avons déjà vu selon quelles modalités les volontés de l’offrant et de l’acceptant sont supposées se rencontrer sur le terrain électronique ⁸V.supra, n°271.. Après cela, « L’auteur de l’offre doit accuser réception sans délai injustifié et par voie électronique de la commande qui lui a été ainsi adressée » ⁹Art. 1127-2 du Code civil.. Chacun se souvient avoir reçu un tel message électronique, après une commande, dans un délai qui ne dépasse généralement pas quelques secondes : cette brièveté manifeste l’automatisation totale du procédé dans les grandes enseignes du commerce en ligne. La doctrine souligne que cet accusé de réception pourra servir de preuve au client, au cas où son partenaire refuserait de s’exécuter, en niant l’existence du contrat ¹⁰P. Stoffel-Munck, « LCEN. La réforme… », art. préc. ; D. Noguero, « L’acceptation… », art. préc.. Est-ce aussi simple ? Tout d’abord, le législateur n’a pas indiqué quelle sanction il entendait voir appliquer au cybermarchand qui négligerait d’envoyer de tels accusés de réception. Si un client suit toutes les étapes du processus de commande, mais ne reçoit ensuite aucun accusé, que pourra-t-il faire ? Pour démontrer que son partenaire contractuel est fautif de ne lui avoir rien envoyé, il faudra qu’il prouve qu’il y avait contrat… ce qui était précisément l’objet du document non reçu  ¹¹Ibid.! Le recours à des captures d’écran, parfois suggéré, pose de multiples problèmes : l’écran qui récapitule le contenu du panier et précède le second et dernier clic ne démontre rien ; l’écran suivant se contente souvent de féliciter l’acheteur pour le succès de « la commande », sans détailler son contenu. Surtout, ces captures d’écran sont très aisément falsifiables ¹²C’est le problème, de manière générale, des procédés des preuves que l’on se constitue à soi-même, dont il sera questioninfra, n°286.. C’est pourquoi il a été proposé, à juste titre, de rendre obligatoire le caractère entièrement automatisé et quasi instantané des envois d’accusés de réception. Si telle est la pratique des plus grandes enseignes, on peut craindre qu’elle n’ait pas été adoptée par l’intégralité des 204 000 sites marchands français ¹³Fédération e-commerce et vente à distance (FEDAV), Les chiffres clés 2016/2017, précités.. Les services de la répression des fraudes devraient pouvoir procéder à des tests de commande. Si ce problème des accusés de réception était résolu, les clients disposeraient contre les vendeurs ou prestataires indélicats d’un document écrit, émanant de l’autre partie, ce qui écarterait toute difficulté probatoire les concernant ¹⁴Ajoutons qu’au-delà d’un certain montant, le droit de la consommation fait peser sur le marchand une obligation d’archiver une trace de la transaction et de la tenir à disposition du consommateur. V. sur ce point C. Feral-Schuhl, Cyberdroit, op. cit., n° 51.25..

277. Preuve par le marchand ou la plateforme – Mais qu’en est-il du problème inverse : celui de la preuve que devrait rapporter un commerçant en ligne ou une plateforme ? La question n’est pas sans intérêt. Que l’on songe au client qui nie avoir passé le contrat dont le cybermarchand se prévaut. Plusieurs explications sont possibles. Premièrement : il est de mauvaise foi, et cherche seulement à ne pas exécuter son engagement. Deuxièmement : le contrat n’existe effectivement pas, par exemple faute de deuxième clic, mais le commerçant en ligne prétend le contraire. Troisièmement : une personne a usurpé l’identité du client apparent pour passer la commande : le marchand va alors alléguer l’existence d’un contrat contre ledit client apparent, qui va devoir se défendre. Dans cette dernière hypothèse, le problème de preuve rejoint la question de l’imputabilité du contrat électronique, particulièrement épineuse : comment savoir qui tient la souris ¹⁵En ce sens, l’aphorisme : « Sur Internet, personne ne sait que vous êtes un chien ! », cité par T. Piette-Coudol, « L’identité des personnes, les certificats et la signature électronique », CCE, janv. 2005, étude 2. ?

Il est assez naturel d’imaginer que les règles gouvernant les questions de preuve des contrats électroniques sont à puiser dans les réformes récentes, précédemment décrites, et dont l’objectif affiché était de faire basculer le droit des obligations français dans l’ère du numérique. La réalité est tout autre : la preuve littérale électronique est largement délaissée (1). Ce sont des modes de preuve anciens, dits « imparfaits », qui occupent la plus grande place en pratique (2).

1 – La place marginale de la preuve littérale électronique

278. Preuve littérale – L’idéal, pour un commerçant en ligne, serait d’être en mesure de se prévaloir d’une preuve littérale. Une telle preuve est en effet requise lorsque la transaction porte sur une valeur supérieure ou égale à 1500 euros ; de plus, quelle que soit la valeur en litige, il ne peut être prouvé contre ou outre un écrit que par écrit ¹⁶Art. 1359 C. civ. La somme de 1500 euros a été fixée par le décret n° 2004-836 du 20 août 2004, art. 56.. Ce dernier «[…] consiste en une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quel que soit leur support » ¹⁷Comp., avant l’ordonnance de 2016, l’art. 1316 du Code civil : « La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leur support et leurs modalités de transmission ».. À une conception matérielle, physique, de l’écrit et du support papier, qui fut la nôtre des millénaires durant, on a en effet récemment substitué une acception bien plus large, basée sur le sens, l’intelligibilité. Peu importe que l’information soit fixée sur un support à l’aide d’encre, ou qu’elle circule par voie hertzienne, par satellite ou le long de fils de cuivre.

Cette belle pétition de principe, selon laquelle tous les supports se valent, ne peut cependant occulter plusieurs difficultés majeures ¹⁸C. Castets-Renard, « Le formalisme du contrat électronique ou la confiance décrétée », Defrénois, 2006, n° 20, p. 1529 ; M. Mekki, « Le formalisme électronique : la “neutralité technique” n’emporte pas “neutralité axiologique” », RDC, 2007, n° 3, p. 681 ; A. Hollande, Pratique du droit de l’informatique, op. cit., n° 1719.. D’abord, l’information sous forme électronique est souvent stockée sur des supports qui en permettent la modification instantanée, illimitée et discrète ¹⁹C’est notamment le cas lorsqu’elle est stockée sous forme magnétique, par exemple sur un disque dur. Même certains CD ou DVD gravés sont « réinscriptibles ». . Ensuite, nous avons déjà souligné les redoutables difficultés qui tiennent à l’identification en ligne des individus.

279. Écrit électronique et signature électronique – L’article 1366 du Code civil tente de répondre à ces préoccupations : « L’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».

Dire cela change tout, tant il est difficile en pratique de réunir de telles conditions. Il existe bien un moyen : la signature électronique. Après avoir tenté de fusionner, en une définition unique, toutes les formes d’écrit, le Code civil essaie d’envelopper de même, en un seul mouvement, le concept de signature. L’art. 1367 1 pose sobrement : « La signature nécessaire à la perfection d’un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte […]. ». L’alinéa 2 entreprend ensuite d’adapter la notion au monde numérique : « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État.  ».

280. Désaffection pratique pour la signature électronique « présumée fiable » – Le décret a été pris et renvoie largement à un règlement européen ²⁰Un premier décrit n° 2001-272 avait été pris le 30 mars 2001. Il a été remplacé par un décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique. Celui-ci renvoie pour l’essentiel au règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. Dans son annexe II, le règlement énumère des exigences techniques élevées, notamment : « a) la confidentialité des données de création de signature électronique utilisées pour créer la signature électronique est suffisamment assurée ; b) les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être pratiquement établies qu’une seule fois ; c) l’on peut avoir l’assurance suffisante que les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être trouvées par déduction et que la signature électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles ; d) les données de création de signature électronique utilisées pour créer la signature électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres ». Sur ce texte et la manière dont les exigences européennes pourraient évoluer à l’avenir, V. not. A. Penneau, « La preuve des actes électroniques en droit français. Conséquences du règlement européen e-IDAS », JCP E, n° 20, 18 mai 2017, 1264.. Concrètement, le système rend nécessaire le recours à un tiers certificateur, et à un chiffrement asymétrique avec utilisation d’une paire de clés publiques et privées ²¹V. not. M. Videau, « Aspect techniques de la preuve littérale reposant sur l’écrit électronique », RLDI, 2009, n° 52, supplément spécial, p. 15 ; L. Grynbaum, « La preuve littérale. Dispositions générales. Ecrit électronique », in Juris-Classeur civil, art. 1316 à 1316-4, fasc. 10, décembre 2016, n° 50.. Nous avons déjà présenté ces techniques, qui sont au fondement des procédés d’identification les plus fiables sur Internet. Elles sont employées dans le Transport Layer Security (TLS) pour s’assurer que la connexion est établie avec un site authentique et non avec un usurpateur ²²V.supra, n°41.. À l’heure actuelle, deux raisons s’opposent à leur utilisation quotidienne dans le commerce électronique.

La première est d’ordre technique. Rappelons-nous comment une banque, une administration ou un webmarchand obtient un certificat TLS : son identité est vérifiée hors-ligne par un tiers de confiance, qui se fait présenter les documents nécessaires. La confiance ainsi obtenue est propagée en ligne dans un second temps. En France, du côté des utilisateurs des plateformes, ces procédures n’ont été appliquées qu’à des professionnels de certains secteurs, notamment celui des marchés publics ²³V. par ex. G. Clamour, « La signature électronique dans les marchés publics », Contrats et marchés publics, 2012, n° 8, p. 25.. Les individus ordinaires ne disposent d’aucune clé de chiffrement issue d’une telle procédure d’identification, et ne peuvent donc pas s’en servir pour signer. En Belgique par exemple, nous avons expliqué que l’État avait joué le rôle du tiers de confiance, en fournissant à ses administrés une carte d’identité électronique contenant une clé de chiffrement personnelle précisément destinée à la signature de contrats ²⁴V.supra, n°44..

Mais même alors subsiste le second problème, qui relève des stratégies commerciales. Dès que le processus de conclusion de la transaction en ligne est un tant soit peu alourdi, le « taux de conversion » baisse, car des clients éventuels sont découragés. Par paresse ou incompétence, ils abandonnent le processus de commande. Les professionnels du commerce en ligne préfèrent se contenter de preuves bien plus frustes, et du risque contentieux qui les accompagne, s’il en résulte une hausse du chiffre d’affaires ²⁵Ce constat est dressé de la manière la plus nette par Christophe Davy, dirigeant du secteur du commerce en ligne : V. l’entretien en annexe de notre étude précitée « Réflexions sur la preuve… ».. En faveur de cet arbitrage, il faut ajouter que la mise en place de signatures chiffrées représente un coût, qui serait parfois sans rapport avec le faible montant des transactions passées.

Ainsi, dans le domaine du commerce en ligne destiné au grand public, personne n’a recours à la signature électronique présumée fiable ²⁶C. Castets-Renard, Droit de l’Internet..., op. cit., n° 424.. Le « double clic » utilisé par le client des grandes enseignes de la vente sur Internet ne peut en aucun cas s’analyser comme une signature électronique présumée fiable au sens du Code civil. La Commission des clauses abusives a d’ailleurs relevé que : « diverses conditions générales confèrent à l’acceptation par “double clic” la même valeur qu’une signature électronique, sans autre précision, alors qu’un tel processus contractuel ne répond pas nécessairement aux exigences du décret du 30 mars 2001 relatif à la signature électronique, de telle sorte qu’en laissant croire au consommateur qu’il est présumé engagé par une signature ne répondant pas aux exigences légales, une telle stipulation est de nature à créer un déséquilibre significatif à son détriment » ²⁷Recommandation n°07-02 relative aux contrats de vente mobilière conclus par Internet, précitée, 6°..

281. Des signatures électroniques à fiabilité démontrée ? – Afin de présenter les textes applicables, nous sommes partis de l’écrit électronique, avons relevé qu’il doit offrir certaines garanties de fiabilité, constaté que ces garanties de fiabilité peuvent résulter de l’apposition d’une signature électronique fiable, et exposé que cette fiabilité est présumée en cas de respect des prévisions d’un décret pris en Conseil d’État. Remontons à présent ces textes en sens inverse. Il est acquis que la conclusion d’un contrat électronique sur une plateforme de type Amazon, FNAC, ou Rue du commerce n’obéit pas aux exigences du décret. Il pourrait néanmoins s’agir d’une signature électronique, s’il est malgré tout démontré par la partie qui s’en prévaut que le procédé d’identification employé était fiable ²⁸A. Ayewouadan « La preuve des actes juridiques sous le prisme des contrats électroniques », RLDI, 2009, n° 45, p. 73, spéc. n° 31.. La plupart des commandes passées à partir d’un ordinateur relié à Internet reposent sur la création d’un compte utilisateur, auquel est associé un mot de passe. Ce mot de passe pourrait-il être assimilé à une forme de signature électronique ? Cela semble exclu : il relie l’acte passé non pas à une personne identifiée, mais à un compte utilisateur, dont seule l’adresse email fait l’objet d’une vérification à la création ²⁹Un lien est envoyé par email, sur lequel il faut cliquer pour démontrer qu’on est bien le titulaire de l’adresse électronique indiquée, ce qui sera crucial pour le commerçant au moment de satisfaire à son obligation d’accuser réception des commandes par voie électronique.. L’intitulé de cette adresse email peut ne contenir aucune référence au nom de l’utilisateur réel, voire afficher le nom d’une tierce personne physique. Il en va de même des champs « nom » et « prénom » du compte utilisateur, qui sont purement déclaratifs. Enfin, il est généralement possible de laisser indéfiniment active l’identification du compte sur un poste informatique donné, de sorte que le mot de passe n’aura plus à être fourni lors des prochaines commandes passées depuis ce poste. Décidément, un tel procédé n’évoque en rien la signature électronique voulue par le législateur.

Ne pourrait-on être en présence, malgré l’absence de signature à proprement parler, d’un écrit électronique au sens de l’article 1366 du Code civil ? Rappelons que ce texte exige notamment « que puisse être dûment identifiée la personne dont il émane ». Il faudrait donc que le cybermarchand puisse produire un document émanant de son client. Or, il n’en dispose pas ³⁰Si le marchand prétendait disposer d’un écrit électronique, le client n’aurait qu’à opposer une dénégation. Dans ce cas, le juge est forcé de vérifier «  si les conditions, mises par les articles 1366 et 1367 du code civil à la validité de l’écrit ou de la signature électroniques, sont satisfaites » (art. 287 du CPC, relatif à la vérification d’écriture, dont l’alinéa 2 ici cité a été adapté au problème de l’écrit électronique).. Le double clic va laisser une trace dans les serveurs informatiques de cette entreprise. Ce qu’il sera possible de produire, c’est un extrait du journal interne du serveur, un fichier que les informaticiens désignent habituellement par le terme anglais de log. Émanant de la personne même qui entend apporter une preuve, ce document ne peut être considéré comme un « écrit électronique ».

282. La chaîne de blocs : une preuve d’avenir ? – Il n’est pas possible d’aborder la question des preuves numériques sans évoquer la « chaîne de blocs » ou blockchain, une technologie qui provoque actuellement une intense curiosité doctrinale ³¹V. not. : C. Zolynski, « La blockchain : la fin de l’ubérisation ? », Dalloz IP/IT, 2017, p. 385 ; D. Legeais, « Blockchain », fasc. préc. ; D. Legeais, « La blockchain », RTD. com., 2016, p. 830 ; S. Drillon, « La révolution Blockchain », RTD. com., 2016, p. 893 ; X. Delpech, « La délicate appréhension de la Blockchain par le droit », AJ contrat, 2017, p. 244 ; O. Hielle, « La technologie Blockchain : une révolution aux nombreux problèmes juridiques », Dalloz actu., 31 mai 2016 ; Y. Cohen-Adria, « Blockchain : révolution ou évolution ? », Dalloz IP/IT, 2016, p. 537 ; Y. Moreau et C. Dornbierer, « Enjeux de la technologie de blockchain », D., 2016, p. 1856 ; G. Marraud des Grottes, « La blockchain : un secteur encore en phase d’exploration, mais très prometteur… », RLDI, 2017, n° 138 ; T. Verbiest, « Technologies de registre distribué (blockchain ) : premières pistes de régulation », RLDI, 2016, n° 129 ; G. Canivet, « Blockchain et régulation », JCP E, 2017, n° 36, 1469 ; P.-J. Benghozi, « Blockchain : objet à réguler ou outil pour réguler ? », JCP E, 2017, n° 36, 1470 ; P. De Filippi, « What Blockchain means for the sharing economy », Harvard Business Review, 15 mars 2017. Les articles traitant principalement de la blockchain sous l’angle des smart contracts seront citésinfra, n°302..

Elle a pu être définie comme suit :

La blockchain est une technologie de stockage et de transmission d’informations, fonctionnant grâce à un système distribué et des procédés cryptographiques. Ce grand journal public, contenant l’historique de tous les échanges effectués entre les utilisateurs depuis sa création, est partagé et constamment vérifié ; son mode de gouvernance, par consensus distribué, le rend en principe infalsifiable. Chaque utilisateur peut ainsi participer à son bon fonctionnement en vérifiant la validité de la chaîne de blocs de transactions et prendre connaissance des transactions effectuées, ce qui en garantit la publicité et la traçabilité ³²C. Zolynski, « La blockchain : la fin de l’ubérisation ? », art. préc. L’auteur précise que cette définition correspond aux blockchains publiques. Il en existe aussi « (…) qui fonctionnent sur le modèle d’un réseau privé dont le gérant peut modifier le protocole quand il le juge utile, et dont l’accès et l’utilisation sont limités à un certain nombre d’acteurs »..

Le seul texte français qui y fait actuellement référence la dénomme « dispositif d’enregistrement électronique partagé » ³³Art. L. 223-12 du Code monétaire et financier : « Sans préjudice des dispositions de l’article L. 223-4, l’émission et la cession de minibons peuvent également être inscrites dans un dispositif d’enregistrement électronique partagé permettant l’authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d’État » (nous soulignons). La même terminologie est employée par un « projet d’ordonnance blockchain/titres financiers » de la Direction générale du Trésor (septembre 2017)  : https://www.tresor.economie.gouv.fr/Articles/2017/09/19/consultation-publique-projet-d-ordonnance-blockchain-titres-financiers.. L’origine de la blockchain est à rechercher dans la monnaie électronique Bitcoin. Savoir qui possède ces devises et pour quel montant revient à tenir un registre mondial, permanent, et exhaustif des transactions en bitcoins. Deux grandes méthodes sont alors envisageables. La première, classique, consiste à s’en remettre à un tiers de confiance déterminé. La seconde, innovante, dissémine dans les machines de milliers d’utilisateurs des automatismes associés à des techniques de chiffrement, capables de se coordonner sans la moindre intervention centralisée pour stocker des morceaux du journal et en vérifier l’intégrité à tout instant. La confiance n’est plus localisée ni personnifiée : vaporisée en gouttelettes microscopiques, elle se trouve partout à la fois. C’est la même approche générale qui avait entraîné le passage d’un réseau de communication téléphonique centralisé à l’architecture souple et distribuée d’Internet ³⁴V.supra, n° 8 s.. Chaque fois qu’un ensemble de transactions a été passé, il est relaté dans un bloc d’information qui sera relié à celui qui le précède et à celui qui le suivra par des techniques de chiffrement. Le journal, qui est accessible à tout intéressé, se construit à partir de la toute première transaction, par empilement de strates successives ³⁵Il s’agit du fonctionnement d’une blockchain « publique ». Des chaînes de bloc privées existent par ailleurs, qui ne seront pas présentées ici.. Le caractère totalement infalsifiable du registre devrait être considéré avec prudence : dans le domaine de la sécurité informatique, rien n’est invulnérable. Les auteurs prudents se contentent de qualifier la technologie « d’extrêmement robuste » ³⁶Ainsi de S. Drillon, « La révolution Blockchain », art. préc., qui présente notamment la vulnérabilité connue sous le nom « d’attaque des 51 % » au n° 13..

Le fonctionnement qui vient d’être décrit permet de figer dans le marbre numérique une information quelconque. De multiples usages peuvent alors être imaginés, dont certains intéressent à l’évidence le droit des preuves. Ainsi, conserver une description horodatée d’une création de l’esprit, par le texte ou par l’image, permettrait à un auteur de démontrer aux tiers l’antériorité de son droit. Une chaîne de blocs pourrait servir de registre d’état civil, ou de livre foncier, ou de répertoire des testaments. On pourrait encore, et c’est le point qui nous intéresse ici, confier à sa mémoire supposée infaillible le souvenir de la conclusion d’un contrat et de son contenu.

Il est parfois affirmé qu’une convention cristallisée dans une blockchain constitue nécessairement un écrit électronique au sens du Code civil, une preuve littérale parfaite ³⁷Y. Cohen-Hadria, « Blockchain… », art. préc. : « (…) la “clé publique” que nous décrivions plus haut est un identifiant personnel qui est conservé de manière à garantir son intégrité. En outre, la clé privée également évoquée supra est une signature électronique au sens de l’article 1367 du code civil. Les données stockées et conservées à travers la chaîne de transaction de type Blockchain sont donc des moyens de preuve électronique aussi forts que des écrits papier ».. L’affirmation est inexacte. Rappelons que « L’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité » ³⁸Article 1366 du Code civil.. Il est vrai qu’une chaîne de blocs conserve en principe les informations dans des conditions de nature en garantir l’intégrité. En revanche, rien dans son fonctionnement par défaut n’assure que l’identité des personnes à l’origine de la transaction a été sérieusement vérifiée. Le registre est totalement aveugle au monde qui l’entoure. S’il est capable de conserver une trace pérenne d’un contrat dont on lui dit qu’il a été passé entre Dupont et Durand, il n’a aucune capacité à déterminer par lui-même si ces noms correspondent à une identité réelle, s’ils sont usurpés ou s’ils constituent des pseudonymes. Une interface avec le monde social et juridique lui est nécessaire. À cette étape, le recours à un tiers de confiance ne peut être évité ³⁹En ce sens, T. Verbiest, « Technologies de registre distribué… », art. préc. : « La question centrale est donc celle de l’identification, sur un réseau qui garantit normalement l’anonymat des parties : celles-ci ne sont “représentées” que par une clé publique. Cette clé n’est pas reliée à une personne physique ou morale pour assurer l’identification de l’auteur de l’acte, comme dans le régime légal de la signature électronique. En effet, pour qu’une signature électronique ait force probante, elle doit bénéficier d’une présomption de fiabilité, laquelle résulte de l’usage d’un procédé d’identification établi grâce à un dispositif sécurisé de création de signature électronique et permettant la vérification de cette signature par l’utilisation d’un certificat électronique délivré par un prestataire qualifié. En d’autres termes, pour qu’un contrat conclu via la blockchain soit valable, il faudrait une identification des parties assurée, soit de manière certaine, par une signature électronique “légale” (qui suppose l’intervention d’un tiers de confiance), soit par un autre procédé laissé à l’appréciation du juge ».. Mais une fois que cette autorité de certification a confié à chaque citoyen une clé de chiffrement personnelle correspondant à une identité vérifiée, une fois que les joueurs sont connus, la blockchain peut arbitrer seule la suite de la partie.

Ainsi, la technologie blockchain ne saurait résoudre à elle seule les difficultés suscitées par les concepts de signature électronique et d’écrit électronique, mais son développement fournira sans doute une partie des solutions.

Il reste qu’à l’heure actuelle, la place de l’écrit électronique dans la pratique des contrats en ligne reste tout à fait marginale. Il faut alors se contenter de modes de preuve plus frustes et moins puissants.

2 – La place centrale des modes de preuve imparfaits

283. Cas dans lesquels un écrit est exigé – Admettons qu’en général, le commerçant en ligne ne dispose pas d’un écrit électronique. Dans la grande majorité des transactions passées sur Internet, la valeur en litige est inférieure à 1500 euros, ce qui autorise le recours à des modes de preuve différents ⁴⁰Art. 1359 C. civ. a contrario. Ainsi qu’il a déjà été rappelé, la preuve sera libre également dans le cas, qui n’est pas celui qui nous intéresse ici au premier chef, d’un client commerçant, et ce quelle que fût la valeur en litige (art. L. 110-3 C. com.).. Mis à part l’aveu et le serment judiciaire, qui ont vocation ici comme ailleurs à jouer un rôle extrêmement marginal, il s’agira alors de preuves dites « imparfaites », en ce que leur force de conviction sera librement appréciée par le juge ⁴¹J.-L. Mouralis, Rép. civ. Dalloz, V° « Preuve (2° règles de preuve », avril 2017, n° 175..

Il n’est cependant pas exclu que la valeur en litige soit supérieure à 1500 euros dans le cas d’achats de matériel informatique, photographique, d’électroménager, d’instruments de musique… Là, l’écrit est en principe obligatoire, mais il existe des exceptions.

284. Dérogations – La première exception profite à celui qui peut se prévaloir d’un commencement de preuve par écrit. Il s’agit de « tout écrit qui, émanant de celui qui conteste un acte ou de celui qu’il représente, rend vraisemblable ce qui est allégué » : il sera alors possible d’avoir recours à tout autre mode de preuve pour compléter, par un élément distinct, ce commencement de preuve par écrit ⁴²Art. 1362 C. civ.. Ce complément constituera une preuve imparfaite, c’est-à-dire que le juge aura à apprécier sa force de conviction, ce qu’il n’aurait pas eu à faire face à une preuve littérale en bonne et due forme.

Une deuxième exception à l’exigence d’une preuve littérale au-delà de 1500 euros peut être rappelée. L’article 1360 du Code civil prévoit le cas de l’impossibilité matérielle d’établir un écrit à laquelle se serait heurtée la partie qui cherche à prouver l’obligation. Un auteur explique ainsi : « […] en l’état de la science et de la technique et de l’absence de signature sécurisées au sens strict, il n’est jamais possible d’établir électroniquement une preuve littérale » ⁴³A. Penneau, « La signature électronique. Rapport de droit français », RLDI, 2009, n° 52, supplément spécial, p. 36, n° 19. L’auteur évoque même la possibilité, ouverte par le même texte, d’une impossibilité morale d’établir un écrit, au regard de la jurisprudence de la Cour de cassation « admettant que l’impossibilité morale d’établir un écrit puisse être extirpée d’un usage de ne pas signer un acte » (n° 20). Mais Mme Penneau rejette rapidement cette idée.. À supposer que l’argument ait été valable un jour, il semble à présent daté : pour des transactions d’un tel montant, les solutions techniques existent et pourraient être mises en place.

285. Plan – Gardons tout de même à l’esprit que la grande masse des transactions en ligne est inférieure au seuil de 1500 euros. Cela explique que l’on se contente de modes de preuve imparfaits. Leur simplicité (a) compense leurs faiblesses (b).

a – Simplicité

286. Les logs : admissibilité – Il s’agit de rechercher une trace des connexions ayant mené à la conclusion du contrat dans le journal interne du serveur tenu par le commerçant ou la plateforme. Commençons par souligner qu’un tel document ne peut certainement pas être considéré comme un commencement de preuve par écrit. La définition du Code civil, que nous avons rappelée, précise qu’il doit s’agir d’un écrit émanant de celui qui conteste l’acte. Tel n’est pas le cas document tiré du serveur du commerçant en ligne ⁴⁴En ce sens : À. Hollande, op. cit., n° 1723. Il a ainsi été jugé, dans une hypothèse très proche, que le relevé des communications téléphoniques par France Télécom ne peut valoir commencement de preuve par écrit contre son abonné : Cass. 1ère civ., 12 juill. 2005, pourvoi n° 04-15314 : Bull. civ., I, n° 328 ; CCC, 2006, n° 3, obs. L. Leveneur.. Poursuivons néanmoins notre examen de la valeur probante de ce document, en gardant à l’esprit que, si la valeur en litige est supérieure à 1500 euros, il ne pourra servir que comme complément extrinsèque à une tierce pièce qui, elle, répondrait aux exigences posées pour les commencements de preuve par écrit.

L’ancien article 1349 du Code civil, dont il n’y a plus d’équivalent exact depuis l’ordonnance de 2016, disposait  : « Les présomptions sont des conséquences que la loi ou le magistrat tire d’un fait connu à un fait inconnu ». Il existe ainsi des présomptions légales, qui ne nous intéressent pas ici, mais également des « présomptions qui ne sont point établies par la loi » ⁴⁵C’était le titre du paragraphe du Code civil contenant l’article 1353 du Code civil, devenu 1382 depuis l’ordonnance de 2016., que la doctrine nommait « présomptions du fait de l’homme » ⁴⁶V. J.-L. Mouralis, V° Preuve (1° modes de preuve), in Rép. civ. Dalloz, avril 2017, n° 665 s.. Celles-ci figurent au nouvel article 1382 du même Code : « Les présomptions qui ne sont pas établies par la loi, sont laissées à l’appréciation du juge, qui ne doit les admettre que si elles sont graves, précises et concordantes, et dans les cas seulement où la loi admet la preuve par tout moyen. ». Qu’est-ce qu’un log, du point de vue du droit des preuves, si ce n’est une telle présomption  ⁴⁷En ce sens, très clairement : A. Hollande, op. cit., n° 1724.? D’un fait connu — il existe une trace dans un fichier informatique — le juge va tirer un fait inconnu – cette trace a été créée par l’action du client, souscrivant le contrat électronique.

Néanmoins, on songera peut-être à opposer à la production du log l’ancien adage, devenu récemment article de loi : « nul ne peut se constituer de preuve à soi-même (sic) » ⁴⁸Article 1363 du Code civil, issu de l’ordonnance de 2016.. Mais il faut se représenter le sens de cette règle le plus exactement possible, tant il apparaît que les contrats du commerce électronique mettent « le droit de la preuve à l’épreuve de l’unilatéralisme » ⁴⁹Cette formule constitue une partie du titre de l’étude approfondie que C. Mouly-Guillemaud a consacré à l’adage : « La sentence “nul ne peut se constituer de preuve à soi-même” ou le droit de la preuve à l’épreuve de l’unilatéralisme », RTD. civ., 2007, p. 253.. Or cette sentence est largement critiquée en doctrine, du moins en ce qu’elle prétendrait s’opposer à toute production d’une preuve unilatérale, dans son principe même. Un premier niveau de critique consiste à affirmer que les preuves unilatérales peuvent et doivent être examinées par le juge, mais qu’elles ne peuvent simplement pas suffire, à elles seules, à emporter sa conviction ⁵⁰V. ainsi, très clairement, D. Gutmann, note ss. Cass. 2e civ., 2 avr. 1996 : LPA, 24 janv. 1997, n° 11, p. 19.. Certains arrêts ont pu sembler en ce sens ⁵¹Par ex. Cass. 1ère civ., 2 avr. 1996, pourvoi n° 93-17181 : Bull. civ., I, n° 170 ; D. Gutmann, note préc. ; RTD. civ., 1997, p. 136, obs. J. Mestre ; D., 1996, somm., p. 329, obs. P. Delebecque. Cet arrêt reproche à une cour d’appel d’avoir rejeté la demande en indemnisation de la victime d’un accident impliquant un train, « en se fondant exclusivement sur des éléments de preuve émanant de la SNCF » (nous soulignons).. Un second niveau de critique va jusqu’à prétendre qu’il est possible de convaincre le juge sur la seule foi d’une ou plusieurs preuves unilatérales, si le magistrat en vient à estimer que la manière dont ces preuves ont été constituées mérite sa confiance ⁵²En ce sens not., C. Mouly-Guillemaud, art. préc.. Ainsi des juges, pour constater que des passagers s’étaient présentés tardivement au comptoir de leur compagnie aérienne, se sont-ils reposés sur le seul « listing informatique des opérations d’enregistrement », dans la mesure où une entrée ne peut être apposée sur ce registre sans que ces passagers n’aient présenté leurs documents personnels : c’est la manière dont le procédé est construit qui le rend crédible ⁵³Cass. 1ère civ., 13 juill. 2004, pourvoi n° 01-11.729 : Bull. civ., I, n° 107 ; D., 2004, p. 2524, note N. Léger.. Les relevés des communications par l’opérateur téléphonique, ensuite, constituent une hypothèse plus proche encore de celle qui nous occupe. Nous avons souligné précédemment qu’ils ne peuvent valoir commencement de preuve par écrit, puisqu’ils n’émanent pas de la partie contre laquelle la demande est dirigée. Mais il a été jugé qu’ils peuvent valoir comme présomption, et cette seule présomption peut suffire à emporter la conviction des magistrats ⁵⁴Cass. 1ère civ., 28 janv. 2003, pourvoi n° 00-17.553 : Bull. civ., I, n° 26 ; CCE, 2003, n° 11, p. 37, obs. P. Stoffel-Munck; CCC, 2003, n° 6, p. 15, obs. L. Leveneur..

Il semble donc qu’il ne reste pas grand-chose de l’adage « nul ne peut se constituer… », et que la présomption tirée d’une preuve unilatérale soit finalement une présomption comme une autre ⁵⁵Dans sa version la plus ancienne, axée sur le mot « titre » et non « preuve », l’adage signifierait tout de même qu’une preuve unilatérale ne peut valoir preuve littérale (un titre), mais on considérera avec un auteur il n’y a là qu’une « inutile évidence » (C. Mouly-Guillemaud, art. préc.).. La preuve unilatérale n’en est pas moins une preuve, lorsqu’elle parvient à convaincre.

287. Les logs : force de conviction – Quelles sont alors les chances que les magistrats soient convaincus par la production des logs ? Nécessairement assistés sur ces questions par des experts, les juges auront à examiner la plateforme technique mise en place par le commerçant, et à en apprécier la fiabilité : comment sont conçus les logiciels permettant le fonctionnement du serveur informatique ? Comment construisent-ils le journal des opérations : y a-t-il un risque élevé d’erreur, de falsification ? A-t-on recours à un tiers prestataire, et si oui peut-on en déduire que les données sont dignes d’une plus grande confiance ? À considérer que les différents processus ayant abouti à la production des données produites devant le juge sont tous fiables, on aboutira le plus souvent à un lien entre un panier de produits — biens ou prestations de services — d’une part, et un utilisateur d’autre part. Par « utilisateur » on entend deux types de données : celles qui ont été renseignées dans le compte client, dont on a déjà vu qu’elles étaient purement déclaratives et dont la valeur probatoire est donc très faible, mais aussi les données relatives à l’adresse IP de l’utilisateur. L’adresse IP a déjà été définie plus haut comme un identifiant chiffré, unique, attribué à une machine ou à un ensemble de machines connectées à Internet ⁵⁶V.supra, n°51.. Si le point d’accès au réseau est un domicile particulier, on ne saura pas pour autant lequel des habitants du domicile, ou des amis de passage tenait la souris au moment de la commande. Il est également possible qu’un réseau sans fil domestique mal sécurisé soit piraté : l’acheteur réel sera alors masqué derrière l’IP d’un acheteur apparent. D’autre part, l’adresse peut être celle d’un accès collectif, cybercafé ou entreprise, ce qui rend la traque encore plus difficile. Ajoutons que le commerçant dispose de l’adresse IP et de l’heure de la transaction, mais qu’il ne peut en déduire lui-même à qui cette adresse était attribuée : seuls les FAI disposent de cette information, et ils ne la délivrent généralement qu’à la demande de la justice – cette mesure ayant évidemment un coût.

La description qui vient d’être donnée vaut dans le cas d’une commande à partir d’un poste informatique classique. Mais dans le cas d’une commande passée à partir d’un smartphone, l’utilisateur relie dès l’acquisition son compte utilisateur à sa carte SIM, c’est-à-dire à un contrat de téléphonie mobile dont le titulaire est, quant à lui, bien identifié, ce qui écarte les difficultés liées à une utilisation collective du terminal. De plus, lors d’un achat d’application ou de contenu via la plateforme intégrée au téléphone, par exemple iTunes (pour Apple) ou Google Play, la tabulation d’un mot de passe personnel est nécessaire ⁵⁷Sauf nouvelle commande passée dans les minutes suivant la première, le concepteur présumant que, durant ce court laps de temps, le terminal reste sous le contrôle ou du moins sous la surveillance de son propriétaire. Les magistrats pourraient peut-être y voir des éléments allant dans le sens d’une fiabilité supérieure ⁵⁸Faut-il aller jusqu’à voir dans ces procédés une forme de signature électronique, puisqu’ici le mot de passe est directement relié à une personne physique identifiée ? Nous ne le croyons pas. Rappelons que la signature électronique « consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » (art. 1316-4 al. 2 C. civ.). Si l’identification est peut-être ici relativement fiable — la question appartient avant tout aux experts informatiques -, la condition manquante est celle du « lien avec l’acte ». La signature électronique « présumée fiable » telle que prévue par les décrets mêle en effet, par l’intermédiaire de techniques cryptographiques, la signature et le texte du contrat, en un ensemble unique jusqu’à son déchiffrement. S’il est théoriquement possible, à la lecture du texte, de prévoir un système de signature électronique qui ne soit pas conforme au décret — à charge alors de prouver sa fiabilité — sa physionomie reste encore à définir : comment garantir, autrement que par le système du décret, le lien avec l’acte ? V. sur ce point D. Guinier, « Une signature numérique insatisfaisante est-elle encore une signature ? », Gaz. Pal., 19 avr. 2001, p. 14 et J. Devèze, « Vive l’article 1322 ! Commentaire critique de l’article 1316-4 du Code civil », in Mélanges Catala, Litec, 2001, p. 529, spéc. p. 535 s.. L’achat de contenu depuis la « box » d’un FAI relie également le mot de passe à une personne physique dont l’identification a été vérifiée (au moment de l’abonnement à Internet) ⁵⁹En pilotant l’une de ces « box » à l’aide d’une télécommande, et en fournissant un mot de passe défini lors de la souscription de l’abonnement à internet, il est par exemple possible de louer un film pour quelques heures. Il sera téléchargé, diffusé sur la télévision, et facturé. Ce système ne doit pas être confondu avec les dispositifs de type « Internet plus » dont il sera questioninfra, n°297, par lesquels les fournisseurs d’accès à Internet facturent du contenu vendu par des tiers et non par eux-mêmes..

Quoi qu’il en soit, il apparaît que les investigations à réaliser sont complexes, d’une durée et d’un coût qui sont généralement sans rapport avec la valeur en litige, et qu’elles risquent de placer le juge dans les mains des experts informatiques.

Heureusement, d’autres éléments pourront alimenter le débat probatoire, au premier rang desquels l’utilisation de moyens de paiement par l’acheteur.

288. Les moyens de paiement – Le client aura nécessairement réglé sa commande au cybermarchand. Les instruments de paiement dont il se sera servi pourront le plus souvent être utilisés par le commerçant pour prouver que le contrat a bien été conclu, et pour identifier son partenaire. Les modes de paiement les plus classiquement employés sont le chèque, le virement, et la carte bancaire.

Un chèque est un ordre de paiement écrit, donné par le client à sa banque, qui permet de l’identifier précisément. Il peut être considéré comme une preuve littérale, et est assorti de la force particulière que lui confère le droit cambiaire : « […] les effets de commerce représentent toujours une somme d’argent incorporée au titre lui-même, l’autonomie du rapport cambiaire assurant cette incorporation. Il s’ensuit que, contrairement au titre civil pour lequel l’instrumentum ne constitue qu’un moyen de preuve, pour les effets [de commerce], le titre incarne le droit lui-même » ⁶⁰D. Gibirila, V° « Effets de commerce », in Rép. com. Dalloz, janvier 2010, n° 30.. Même lorsque le chèque est irrégulier, parce qu’il ne contient pas les mentions obligatoires, ou que son encaissement est demandé tardivement, il peut encore valoir comme commencement de preuve par écrit ⁶¹Cass. com., 5 févr. 1991, pourvoi n° 89-16333(chèque périmé) : Bull. civ., IV, n° 54 ; D., 1991, p. 217, obs. M. Cabrillac ; RTD. civ., 1991, p. 749, obs. J. Mestre ; Cass. 1ère civ., 10 mars 1992, 10 mars 1992, pourvoi n° 90-21.074 (chèque non daté) : Bull. civ., I, n° 78 ; D., 1992, p. 337, obs. M. Cabrillac..

Lorsque le commerçant est payé par virement, il ne bénéficie pas, cette fois-ci, d’une preuve littérale parfaite comme dans le cas d’un chèque régulier. En effet, à supposer qu’il existe un ordre de virement écrit et signé — ce qui n’est pas systématique puisque, en tant que mandat, il obéit au principe du consensualisme ⁶²R. Bonhomme, V° « Virement », in Rép. com. Dalloz, octobre 2014, n° 48. —, ce n’est pas le webmarchand qui est en sa possession, mais la banque. Toutefois, la trace du virement dans les comptes du bénéficiaire peut valoir commencement de preuve par écrit, lorsqu’elle est accompagnée d’un libellé qui fait référence à la prestation contestée ⁶³Par ex. Cass. 1ère civ., 25 juin 2008, pourvoi n° 07-12545, inédit : CCC, nov. 2008, comm. 256, obs. L Leveneur. Dans cet arrêt, pas moins de 6800 euros étaient réclamés au titre des « frais de garde » d’un chien. Les virements libellés « garde de chien » ou « garde Rocco » ont pu constituer des commencements de preuve par écrit de l’existence de cette créance.. Concourant à la preuve de la créance, le virement peut également concourir à la preuve de l’imputabilité de l’opération : l’identité de son auteur sera connue, et elle aura été vérifiée par la banque.

La majeure partie des paiements en ligne est réalisée au moyen d’une carte bancaire. Dans les comptes du commerçant apparaîtra une trace très proche de celle laissée par un virement : dès lors, on voit mal comment refuser à l’une la qualité de commencement de preuve par écrit qui a été reconnue à l’autre. Toutefois, un tel mode de paiement offre une sécurité bien plus faible lorsque seules les informations faciales de la carte sont réclamées, ce qui est très souvent le cas ⁶⁴Pas toujours, puisque certains systèmes de paiement par carte bancaire réclament en outre que soit saisie la date de naissance du titulaire de la carte, voire un code de sécurité envoyé sur son téléphone portable : V.infra, n°295.. Si son titulaire prétend qu’il y a eu fraude, il ne sera plus possible de considérer automatiquement que le paiement « émane de celui contre lequel on l’allègue », et il n’y aura donc plus commencement de preuve par écrit ⁶⁵Pour trancher cette question, il faudra donc au préalable déterminer si la fraude dénoncée a réellement eu lieu..

Les instruments de paiement traditionnels bénéficient donc d’un pouvoir identifiant, dont l’intensité varie selon les circonstances. Mais de nouveaux moyens de paiement en ligne sont en train de se développer à grande vitesse. Certains sont conçus pour le règlement de petites sommes : c’est la question des « micropaiements ». Ils se présentent parfois sous la forme d’une créance « au porteur » : chèques cadeaux, identifiants à usage unique… Le paiement est alors entièrement anonyme, qualité qui, loin d’être accidentelle, est au contraire mise en avant par les fournisseurs de ces services ⁶⁶C’était le cas du service Wexpay, qui proposait d’acheter des identifiants à usage unique, d’une valeur libératoire comprise entre 5 et 250 euros, par exemple chez un buraliste. La société a cependant récemment cessé ses activités.. Il sera alors impossible d’imputer le contrat électronique, de manière fiable, à une personne physique précise, mais tel est également le cas des achats de petits montants réglés en espèces dans le commerce traditionnel. De plus, il est possible pour le vendeur de « monnaie électronique » d’en proposer deux versions, dont l’une est réservée aux mineurs. Si un mineur en fait l’acquisition, ou qu’un adulte déclare acheter cette monnaie pour l’offrir à un mineur, le code identifiant qui sera délivré ne permettra pas l’achat de certains produits réservés à un public de majeurs ⁶⁷Wexpay proposait ainsi un système baptisé « contrôle parental de paiement »..

Un problème similaire est posé par l’utilisation de monnaies électroniques de type bitcoins ⁶⁸Pour un aperçu général, V. par ex. C. Laverdet, « Bitcoins et autres cryptomonnaies : enjeux et défis juridiques », in Les biens numériques, éd. Ceprisca, 2015, p. 33.. Ainsi qu’il a été exposé, la circulation de cette devise virtuelle est retranscrite dans un registre fondé sur la technologie des chaînes de blocs, qui n’impose nullement dans son principe que ses utilisateurs fournissent une identité réelle et vérifiée. Accepter des paiements en bitcoins revient donc à accepter le principe d’une clientèle d’anonymes. Les motifs peuvent être louables — afficher une politique rassurante en matière de collecte de données personnelles — ou plus douteux – proposer des biens et services illicites ⁶⁹Pour un exemple relevant de la première catégorie, V. la possibilité de s’abonner au journal d’actualités du numérique Nextinpact en réglant en bitcoins (https://www.nextinpact.com/blog/93538-le-paiement-par-bitcoin-est-disponible-pour-nos-abonnements.htm). Pour des exemples relevant de la seconde catégorie, V. par ex. O. de Maison Rouge, « Darkweb : plongée en eaux troubles », Dalloz IP/IT, p. 74.. Précisons cependant que les services de l’État, qu’il s’agisse de l’administration fiscale ou de la police, ne sont pas dénués de tout moyen d’investigation permettant de mettre au jour les identités réelles cachées derrière les comptes en cryptomonnaies ⁷⁰V. par ex. V. Charpiat, « Le bitcoin devient monnaie courante : les monnaies digitales entre transparence et innovation », Revues des Juristes de Sciences Po, n° 9, juin 2014..

289. Les justificatifs de domicile ou d’identité – Afin de combattre les détournements de moyens de paiement et les usurpations d’identité, dont nous avons vu qu’ils étaient rendus plus aisés par les systèmes de vente à distance, certains commerçants avertissent leur clientèle qu’ils sont susceptibles de réclamer des documents supplémentaires s’ils le jugent utile. Ainsi, les conditions générales de Rue du commerce contiennent-elles l’article suivant : « 3.2. Les contrôles anti-fraude. Afin d’assurer la sécurité des transactions et de répondre au souci du plus grand nombre de prévenir les fraudes en matière de vente à distance, nous effectuons des contrôles sur la passation des commandes. Dans le cadre d’un contrôle, nous vous invitons par courriel à transmettre des justificatifs de domicile et d’identité (le but étant de s’assurer de la réalité de l’identité et de la domiciliation (par exemple une quittance d’électricité, une facture de téléphone fixe pour la perfection de la commande) […] » ⁷¹Conditions générales consultables sur www.rueducommerce.fr, datées du 21 avril 2017 et encore en vigueur en septembre 2017..

De tels documents, au contenu neutre, peuvent difficilement être considérés comme « rendant vraisemblable » la volonté de passer une transaction précise : par conséquent, ils ne paraissent pas devoir être considérés comme des commencements de preuve par écrit. Le juge pourrait cependant y voir de simples présomptions, concourant à la démonstration qu’il n’y a eu aucune usurpation d’identité, et que les autres preuves présentées — log, trace d’un paiement — émanaient bien de l’acheteur apparent. Mais il semble évident que les enseignes recueillant ces documents ne cherchent pas à se constituer des preuves susceptibles d’être présentées lors d’un contentieux : il s’agit d’une démarche essentiellement préventive.

290. Le rôle éventuel des conventions de preuve – Les règles du droit probatoire ne sont pas toujours impératives. En effet, s’agissant des droits « dont les parties ont la libre disposition, [les] conventions de preuve sont licites », d’après la jurisprudence ⁷²Cass. 1ère civ. 8 nov. 1989, Crédicas, pourvois n° 86-16196 et 86-16197 : Bull. civ., I, n° 342.. N’est-ce pas la solution parfaite aux problèmes soulevés jusqu’ici ? Ce n’est pas aussi évident, et les observations qui vont suivre appellent à la prudence.

Tout d’abord, il faut que la convention déroge suffisamment clairement aux règles légales de preuve. À cet égard, une ancienne version des conditions générales des magasins en ligne d’Apple (les Stores), constituait un contre-exemple intéressant : « L’utilisation des Stores vous donne la possibilité de conclure des contrats et/ou d’effectuer des transactions électroniquement. Vous reconnaissez que vos demandes électroniques constituent votre accord et votre volonté d’être lié contractuellement et de payer pour ces contrats et achats. […] » ⁷³Conditions générales des App Store, version du 6 décembre 2012.. On voit mal ce qu’apporte une telle stipulation. Est tout à fait claire, en revanche, la clause des conditions générales de la FNAC relative au téléchargement de livres numériques, ainsi libellée (art. 3) : « […] Sauf preuve contraire, les données enregistrées par Fnac Direct constituent la preuve de l’ensemble des transactions passées par Fnac Direct et ses clients » ⁷⁴Conditions générales consultables sur http://multimedia.fnac.com/multimedia/fnacdirect/pdf/cgv/Conditions_Generales_de_Telechargement_Livre_Numerique_14102014.pdf, version du 14 octobre 2014..

Ensuite, les auteurs s’accordent à dire que la convention de preuve ne peut faire davantage que poser une présomption simple, qui doit pouvoir être renversée ⁷⁵En ce sens : L. Grynbaum, « La preuve littérale… », art. préc., n° 36. Rappr. art. R. 132-2, 9° C. conso., qui prohibe comme abusives ayant pour objet ou pour effet de « limiter indûment les moyens de preuve à la disposition du non-professionnel ou du consommateur ». – c’est le cas dans les conditions générales FNAC précitées. En pratique, est-il vraiment possible pour le client d’apporter la preuve contraire ? De plus, même si l’on s’en tient à une présomption simple, ne confère-t-on pas in fine aux logs des serveurs de la FNAC la même valeur probante qu’une véritable signature électronique fiable, au sens du Code civil et de ses décrets d’application ? Rappelons en effet que le respect des sévères exigences de ces textes ne vaut que présomption simple de fiabilité du procédé ⁷⁶Que reste-t-il alors des préoccupations de la Commission des clauses abusives (supra, n° 280), selon lesquelles on faisait parfois croire au client que le double-clic a la même valeur probatoire qu’une véritable signature électronique ? N’est-ce pas nécessairement le cas, dès lors qu’il y a convention de preuve ?. Il suffirait alors de faire de cette convention de preuve une clause de style dans les conditions générales des cybermarchands pour contourner complètement la « forteresse » de la signature électronique, en donnant à une simple preuve unilatérale la même valeur : tout ça pour ça ⁷⁷La preuve contraire à rapporter par le client semble la même dans les deux cas : démontrer que la trace électronique qu’on lui oppose n’est pas fiable. ?

Mais une dernière remarque, plus fondamentale, vient jeter le doute sur la possibilité même de stipuler de telles conventions sur la preuve. Dans le cas de contrats isolés, survient en effet une impossibilité logique d’en tenir quelque compte que ce soit. L’utilisation traditionnelle de ce procédé par les banques repose sur un montage solide : les conditions générales d’utilisation des cartes bancaires sont signées en agence, sur un contrat « papier », et posent par exemple que, pour l’avenir, la tabulation du code PIN, ou plus précisément sa trace dans les serveurs de la banque, vaudra comme preuve entre les parties. Mais si l’on passe un seul contrat électronique ponctuel, le système ne fonctionne plus ! Pour prouver qu’un contrat a été passé, on ne peut se référer à une convention de preuve figurant dans ledit contrat, car elle ne pourra produire ses effets que… s’il est prouvé qu’elle a été acceptée : c’est une boucle de raisonnement. Le mécanisme n’a donc d’intérêt que s’il figure dans un premier contrat-cadre dont l’assise probatoire est, quant à elle, d’une solidité incontestable au regard des règles légales. Ce n’est qu’ainsi qu’il sera possible de changer les règles du jeu : pour l’avenir seulement ⁷⁸Contra C. Castets-Renard, Droit de l’Internet…, op. cit., n° 424, qui, après avoir évoqué la possibilité de conclure des conventions sur la preuve, conclut à son utilité : « L’usage d’un dispositif de signature électronique pour le commerce électronique n’est donc pas nécessaire »..

De l’ensemble de ce qui précède, il résulte que les moyens de preuve que l’on aurait cru a priori incontournables en la matière — preuve littérale électronique et convention de preuve — se sont révélés d’un usage extrêmement minoritaire, presque anecdotique. Ce sont des concepts anciens du droit probatoire qui sont mobilisés : les commencements de preuve par écrit, et les présomptions du fait de l’homme. De plus, les logs tirés des serveurs du marchand ne sont destinés, la plupart du temps, qu’à jouer un rôle accessoire, à côté de la preuve plus fiable et plus précise que constitue le moyen de paiement. Les failles d’un tel système sont nombreuses.

b – Faiblesses

291. Quels risques ? – Au regard des éléments théoriques qui ont été réunis, il faut à présent se demander si le système probatoire français fonctionne de manière satisfaisante en pratique. L’absence de contentieux notable en la matière ne suffit pas à se réjouir en effet : elle pourrait s’expliquer, bien souvent, par la relative faiblesse des valeurs en litige, de nature à dissuader une partie d’agir quand bien même elle s’estimerait lésée.

Quels sont les risques qu’un acheteur utilise les règles du droit probatoire pour revenir, de mauvaise foi, sur un engagement qu’il aurait pourtant bel et bien pris ? Tout d’abord, s’il est un consommateur, relevons qu’il dispose en matière de vente ou de prestation de service conclue à distance d’un droit de rétractation ⁷⁹Art. L. 221-18 C. conso. Certaines exceptions sont cependant prévues par les textes. : s’il regrette son achat, il n’aura pas besoin de se placer, de mauvaise foi, sur le terrain probatoire. Ensuite, il aura été identifié par son paiement. Mais nous avons vu que le paiement par carte bancaire est le plus fréquent, et qu’il est souvent réalisé par simple indication des numéros figurant au recto et au verso de la carte. En raison du risque élevé de fraude qui résulte d’un tel système, le Code monétaire et financier a mis en place un système d’indemnisation ⁸⁰Art. L. 133-18 et s. CMF, notamment l’art. L. 133-19, I dans le cas d’un paiement effectué sans dispositif de sécurité personnalisé. Adde l’art. 15 du contrat-type carte bancaire. Sur cette question, V. J. Lasserre-Capdeville, « Le droit régissant le paiement par Internet en France », RLDA, 2012, n° 73, p. 84.. Il suffit pour l’essentiel d’une simple déclaration du titulaire du moyen de paiement, selon laquelle il n’a pas autorisé la transaction, pour que l’établissement de crédit soit amené à le rembourser intégralement, se retournant ensuite contre le marchand ⁸¹Ce recours des établissements bancaires contre les marchands est systématiquement prévu par les conventions passées entre eux.. Mais, dans un second temps, le vendeur pourrait utiliser les autres preuves dont il dispose pour conforter celle qui résulte du paiement par carte bancaire : enregistrement de la transaction dans les logs de ses serveurs, présomption découlant de l’adresse de livraison si elle correspond au domicile du titulaire de la carte et même, si la valeur de la transaction était importante, justificatifs d’identité ou de domicile que l’on n’aura pas manqué de lui réclamer. Fort de ces présomptions concordantes, le marchand pourrait tenter de prouver l’existence du contrat, et en réclamer l’exécution forcée, ce qui contraindrait le client à payer à nouveau ⁸²Une qualification pénale pourra également être envisagée, qui dépendra des circonstances précises du mensonge.. Nous verrons toutefois qu’il pourrait être difficile de convaincre le juge, tant il sera parfois délicat de distinguer ces indices de ceux résultant d’une situation dans laquelle la carte a bien été volée, en particulier si l’acheteur a fourni une adresse postale qui n’est pas la sienne ni celle d’un proche.

Les situations les plus préoccupantes, précisément, sont celles qui tiennent à l’intervention d’une tierce personne, qui interpose entre elle et le marchand un acheteur apparent, pour mieux se livrer à une forme de fraude. Les délinquants n’ont évidemment pas attendu le numérique pour traquer les failles des circuits commerçants, en tâchant d’en tirer parti. Mais le commerce électronique offre de nouvelles vulnérabilités, susceptibles d’être exploitées à grande échelle. La fraude repose presque toujours sur un numéro de carte bancaire volé, et sur le système déjà décrit qui permet de payer à l’aide de ces seules informations. On parle de « deux fraudes à la minute pour les achats par carte bancaire sur Internet » ⁸³C’est le titre d’un article du journal Le Monde du 16 février 2012, mis à jour le 26 septembre 2012 sur www.lemonde.fr. Adde les chiffres de l’Observatoire de la sécurité des cartes de paiement, consultables sur http://www.banque-france.fr/observatoire/home.htm. Le rapport annuel 2011 précise : « […] seulement 23 % des transactions de paiement sur Internet sont sécurisées par des dispositifs d’authentification non rejouable […] ». Sur ces dispositifs, V.infra, n°295.. Cette fraude est particulièrement redoutable lorsqu’elle relève d’une forme de crime organisé : elle tend à concerner des montants de plus en plus considérables (alpha). Mais un autre phénomène, que la pratique a pris l’habitude d’appeler « fraude familiale », mérite que l’on s’y arrête, quoique ses enjeux semblent moindres (bêta).

Alpha – La fraude criminelle

292. Fraude « simple » – Le procédé criminel le plus rudimentaire consiste à acheter un maximum d’objets destinés à une revente « au noir » à l’aide de ces cartes, avant que leur titulaire réel ne fasse opposition ⁸⁴L’ensemble des phénomènes de fraude ici décrits a été découvert par l’auteur à l’occasion d’un entretien avec M. Christophe Davy, dirigeant d’une PME du commerce électronique d’articles de luxes, à lire en annexe de notre étude précitée « Réflexions sur la preuve… ».. Le mécanisme d’indemnisation issu du Code monétaire et financier, décrit plus haut, aboutira à ce que le client de la banque soit indemnisé par son établissement, puis que l’établissement fasse finalement supporter la perte par le marchand. Ledit marchand pensera peut-être disposer de plusieurs éléments probants contre le client apparent, mais l’analyse révèle leur fragilité. Le moyen de paiement ? Mais son titulaire prétend que le numéro a été volé. Les logs du serveur ? Mais ils ne pointeront généralement pas vers l’accès personnel du client apparent à son domicile. Cela pourrait vouloir dire que le client a passé la commande depuis un autre lieu — il peut cliquer depuis n’importe quel accès au réseau, partout dans le monde -, mais cela pourrait aussi signifier que ce n’était pas lui qui agissait. L’adresse de livraison ? Elle correspondra à un nom et à un lieu qui n’ont aucun rapport avec le client apparent. Une enquête de police révèlera certainement, ultérieurement, que ce client apparent n’a effectivement rien à voir avec la commande ⁸⁵Les marchands ont l’habitude de porter plainte de manière systématique lorsqu’ils sont confrontés à des cartes bancaires volées : V. notre entretien avec M. Christophe Davy.. En attendant, le juge civil devrait se montrer extrêmement prudent face à une demande d’exécution forcée : son pouvoir de libre appréciation des présomptions devrait être exercé avec tact et mesure.

Que peuvent faire les marchands ? D’abord, mettre en place des techniques statistiques révélant la probabilité de fraude pour une commande donnée : en fonction du lieu de connexion, du type d’adresse de livraison, du profil de la commande, des « matrices de risque » sont construites, qui appellent une intervention humaine pour que la commande soit validée et livrée. Des justificatifs de domicile ou d’identité sont alors réclamés par les préposés du commerçant, ou même une image scannée de la carte bancaire — cryptogramme masqué — afin de démontrer que celui qui commande en possède la maîtrise physique, et qu’il n’a pas seulement recopié les numéros. Mais de tels justificatifs peuvent être falsifiés par des graphistes bien formés. De plus, une nouvelle forme de fraude s’est développée en réaction à ces exigences de justificatifs.

293. Fraude « au consignataire » – Cette technique, appelée par la pratique « fraude au consignataire », repose sur le montage suivant. Des personnes crédules seront recrutées par la voie de petites annonces alléchantes, leur proposant une rémunération mensuelle confortable en contrepartie d’une tâche simple : recevoir chez elles et réexpédier des colis en grand nombre. Ainsi, le fraudeur va pouvoir utiliser l’adresse, les justificatifs d’identité et de domicile du « consignataire » lorsqu’il achètera des biens en réglant avec un numéro de carte bancaire volé. Au bout de quelques semaines, le consignataire, qui ne voit arriver aucune rémunération, s’en inquiète auprès de son « employeur », mais ne reçoit pas de réponse : le fraudeur aura changé de mule entre-temps. Le naïf recevra cependant bien vite la visite des services de police, puisqu’il apparaît comme destinataire de nombreux achats réglés par des moyens de paiement volés. Le fraudeur intelligent ne sera vraisemblablement jamais retrouvé. Les marchands floués disposent-ils d’un fondement leur permettant de se retourner contre le consignataire ? S’ils cherchaient à le désigner comme leur cocontractant réel, mettant en avant l’adresse de livraison et les justificatifs d’identité et de domicile reçus, le consignataire démontrerait au juge que ces présomptions ne doivent pas emporter sa conviction. Il produirait le « contrat de travail » qu’il avait reçu, et arguerait de ce que les commandes étaient en réalité passées par son « commettant ». Mais alors, si le consignataire n’est pas son cocontractant, le marchand pourrait tenter d’engager sa responsabilité civile délictuelle : en acceptant de se prêter à ces opérations de réexpédition de colis pourtant fort suspectes, le consignataire n’a-t-il pas commis la faute d’imprudence prévue à l’article1241 du Code civil causant par là un préjudice à autrui ? Il faut cependant garder à l’esprit la fameuse jurisprudence Costedoat, selon laquelle : « n’engage pas sa responsabilité à l’égard des tiers le préposé qui agit sans excéder les limites de la mission qui lui a été impartie par son commettant » ⁸⁶Cass., ass. plén., 25 févr. 2000, n° 97-17.387 et 97-20.152 : Bull. ass. plén., n° 2 ; JCP G, 2000, I, 241, obs. G. Viney et II, 10295, rapp. R. Kessous et note M. Billiau ; D., 2000, p. 673, note P. Brun ; Dr. et Patr., 2000, n° 82, p. 107, obs. F. Chabas ; RTD. civ., 2000, p. 582, obs. P. Jourdain.. Or, même si son salaire ne lui sera jamais versé, le naïf s’est bien placé en situation de subordination, dans le cadre de ce qu’il pensait être un contrat de travail, et croyait accomplir strictement la mission qu’il lui avait été confiée. L’immunité du préposé ne semble devoir céder qu’en cas d’infraction pénale ; la relative imprécision de la jurisprudence en la matière ne permettant pas de déterminer clairement si cette infraction pénale doit être intentionnelle ⁸⁷En ce sens, V. not. le fameux arrêt Cousin, Cass. ass. plén., 14 déc. 2001, n° 00-82.066 : Bull. ass. plén., n° 2 ; D., 2002, 1230, note J. Julien ; D. 2002, Somm., 1317, obs. D. Mazeaud ; JCP G, 2002, II, 10026, note M. Billiau ; RTD civ., 2002, 109, obs. P. Jourdain., ou si n’importe quelle infraction pénale est suffisante ⁸⁸« Attendu que n’engage pas sa responsabilité à l’égard des tiers, le préposé qui agit sans excéder les limites de la mission qui lui est impartie par son commettant, hors le cas où le préjudice de la victime résulte d’une infraction pénale ou d’une faute intentionnelle » (nous soulignons). Cass. 2e civ., 21 févr. 2008, n° 06-21.182, inédit : RCA 2008, n° 124 ; D., 2008, 2125, note J.-B. Laydu ; JCP G, 2008, I, 186, n° 5, obs. P. Stoffel-Munck.. Mais même pour le cas où une simple infraction pénale non intentionnelle suffirait, il sera malaisé de trouver une norme pénale que le consignataire aurait violée, lorsqu’il a été authentiquement candide – et le doute sur ce point lui profitera. Le commettant ayant disparu, la victime se retrouve abandonnée à son sort : c’est précisément ce que certains reprochent à la jurisprudence Costedoat ⁸⁹V. par ex. J. Julien, V° « Responsabilité du fait d’autrui », in Rép. civ. Dalloz, juin 2016, n° 145, et les réf. citées..

294. Fraude de type « marketplace » – Une troisième technique de fraude, plus habile encore, peut être ici décrite. Certaines plateformes de commerce électronique vendent non seulement des produits en leur propre nom, mais jouent encore le rôle d’intermédiaires pour le compte de plus petits commerçants, qui veulent disposer de la visibilité que confère le site d’un des champions du secteur – un service que la pratique nomme marketplace. L’internaute qui cherche un article sur le site de la Fnac ou d’Amazon, par exemple, pourra choisir d’acheter ce produit « vendu et expédié » par cette grande marque, ou bien vendu par une plus petite boutique, mais expédié par la grande marque, ou encore vendu et expédié par la petite boutique, pour autant de prix différents. Pour ajouter encore à la confusion, il arrive que le marchand sous-traite la partie logistique à un concurrent sans même l’annoncer à l’internaute. Le résultat est que les internautes ne s’étonnent plus guère de recevoir leurs commandes sous des emballages portant des marques avec lesquelles ils n’avaient pas contracté. Cette faille est exploitée par les fraudeurs. Ils vont proposer à la vente sur une marketplace des articles qu’ils ne possèdent pas. Des clients honnêtes vont se présenter pour acheter, et les payer. Les fraudeurs vont encaisser l’argent, puis commander eux-mêmes les articles attendus auprès d’un véritable marchand, mais en payant avec une carte volée. Ils rempliront le bon de commande avec les coordonnées des clients honnêtes, et leur adresse de livraison. Quand ces articles seront présentés à la livraison, les clients vont les accepter en toute bonne foi. Les fraudeurs disparaîtront avec leur argent. Enfin, les marchands payés avec les cartes bancaires volées vont se présenter chez les clients honnêtes, en les accusant de fraude. Le résultat est redoutable : contrairement au naïf consignataire étudié précédemment, le client n’avait quasiment aucun moyen de se douter qu’il était l’instrument d’une mafia. Ici encore, le juge ne devra pas tirer de conclusions trop hâtives des présomptions dont il dispose — adresse de livraison, fait que la commande a été acceptée, la chose déballée et utilisée — car les apparences sont entièrement trompeuses. Rétablir le véritable scénario qui s’est déroulé interdit au marchand de considérer celui qu’il a livré comme son cocontractant et donc de lui réclamer paiement. Mais, corrélativement, le client devra restituer une marchandise qui ne lui appartient pas, et porter plainte pour escroquerie contre le fraudeur qui l’a déterminé à payer par ses manœuvres frauduleuses ⁹⁰Art. 313-1 C. pén..

De manière générale, dans ces hypothèses de fraude mafieuse, l’aspect pénal ne saurait être négligé : si des poursuites sont engagées, la règle selon laquelle « le pénal tient le civil en l’état » pourrait obliger le juge civil à sursoir à statuer, et à tenir compte des conclusions d’une instance qui aura obéi aux règles de la procédure pénale ⁹¹Encore faut-il noter que l’article 4 du Code de procédure pénale, qui pose cette solution, a vu son champ d’application nettement restreint par la loi n°2007-291 du 5 mars 2007. Seules les actions civiles menées « en réparation du dommage » causé par l’infraction pénale sont paralysées. Dans l’exemple qui vient d’être développé, cela n’empêcherait donc pas une action du marchand en exécution forcée du contrat contre celui qu’il croit être son client : il appartiendrait donc bien au juge civil de repousser cette action, après avoir considéré la faiblesse des présomptions apportées à son soutien, et les doutes suscités par la version exposée par le client victime de la fraude..

295. Renforcer les systèmes d’authentification – Les dommages subis par les marchands dans le cadre de ces fraudes pourraient être absorbés par la mise en œuvre d’un mécanisme assurantiel, et le sont déjà certainement très souvent en pratique. Mais, bien évidemment, les coûts afférents à cette couverture sont répercutés sur toutes les transactions « honnêtes » : il est donc fondamental d’éviter que ces phénomènes ne prennent une trop grande ampleur. La solution passe par l’abandon total des possibilités de payer par simple utilisation des données faciales des cartes bancaires : c’est le maillon faible qui rend ces différentes fraudes possibles, et il faut à présent se tourner vers des procédures plus sécurisées ⁹²C’était notamment l’objet du « Colloque sur la sécurisation des paiements par carte dans un environnement de vente à distance » organisé par la FEVAD le 12 novembre 2012, et réunissant juristes et banquiers, sous l’égide de la ministre déléguée à l’économie numérique de l’époque, Mme Fleur Pellerin.. Le dispositif « 3d secure », qui tend enfin à se répandre, demande par exemple au client de confirmer le paiement à l’aide d’un code unique reçu par SMS sur son téléphone portable ⁹³Plus précisément, la formalité supplémentaire à accomplir dépend de la banque du titulaire du moyen de paiement (V. les différents sites internet des établissements). Il s’agit parfois simplement d’indiquer la date de naissance du titulaire, ou son code postal, ce qui ne procure qu’une très faible sécurité, étant donné la facilité avec laquelle cette information peut être découverte par un fraudeur. D’autres établissements remettent à leurs clients une grille de 64 codes, le client devant saisir à chaque transaction celui qui figure précisément à l’intersection de telle ligne et de telle colonne. D’autres encore demandent la tabulation d’un mot de passe personnel. Le système du code unique envoyé par SMS tend cependant à devenir majoritaire.. Cette procédure, qui rend la fraude très difficile, tarde à se généraliser parce que, mal connue et mal comprise des clients, elle les dissuadait de poursuivre leur commande, et faisait s’effondrer les transactions pour les sites qui la mettaient en place ⁹⁴V. notre entretien avec M. Christophe Davy en marge de l’article précité « Réflexions sur la preuve et l’imputabilité des contrats électroniques ».. Il est temps de faire évoluer les mentalités. Lorsqu’un tel système de sécurité personnalisé est à l’oeuvre, le Code monétaire et financier précise que le client doit supporter les pertes liées à l’utilisation frauduleuse, dans la limite de 150 euros ⁹⁵Art. L. 133-19 CMF. En effet, cette « franchise » n’est écartée que s’il y a eu paiement « sans utilisation du dispositif de sécurité personnalisé ». Un auteur estime que le système « 3D secure » peut être assimilé à un tel dispositif : J. Lasserre-Capdeville, art. préc., n° 26. Il nous semble que cela n’est vrai que pour les systèmes d’authentification suffisamment forts au sein de l’ensemble appelé « 3D secure ». Tel ne devrait pas être le cas, par exemple, de la saisie de la date de naissance du client.. De plus, et selon les contrats passés entre les marchands et les établissements bancaires, il arrive que ces derniers prennent le risque à leur charge, pour le surplus, alors que nous avons vu qu’ils le font peser sur le commerçant lorsque le paiement a lieu par simple fourniture des informations faciales de la carte.

Envisageons à présent une forme de fraude moins inquiétante, mais bien réelle : la fraude dite « familiale ».

Bêta – La fraude familiale

296. Concept – Ce que les professionnels appellent « fraude familiale » consiste tout simplement dans le détournement des moyens de paiement d’une personne par ses proches, le plus souvent par ses enfants, qui profitent des facilités que leur procure leur présence physique au sein du foyer ⁹⁶V. par ex. http://www.ziserman.com/blog/2010/07/12/la-fraude-familiale-la-fraude-qui-coute-le-plus/.. Quoi de plus facile, en effet, que de profiter d’une courte absence ou de quelques minutes d’inattention parentale pour recopier les données faciales d’une carte bancaire ? Nous avons vu que ces informations sont généralement suffisantes pour procéder au paiement. Mais un certain système de micropaiement rend la fraude familiale encore plus simple. Le paiement par un jeune enfant pourrait même être involontaire, ou en tout cas inconscient, tandis que l’utilisation de la carte bancaire parentale est toujours une démarche consciente.

297. Système « Internet plus » – « Internet plus » est en effet un système de paiement par simple ajout du prix du bien ou du service à la prochaine facture du FAI ou de l’opérateur de téléphonie mobile ⁹⁷http://internetplus.fr. Nous développerons ici le cas du système de paiement lié à la facture Internet, qui présente nous semble-t-il davantage de risques de détournement que le système lié au téléphone mobile.. Ces professionnels de l’accès au réseau se sont regroupés au sein d’une « Association française du multimédia mobile », qui propose des contrats aux fournisseurs de contenu numérique. Ce contenu consiste par exemple en l’accès à un article de journal, l’achat de l’extrait k-bis d’une entreprise, le téléchargement de fonds d’écran ou de sonneries pour téléphones portables… L’idée est la suivante : le FAI facturera et fera payer le service à son abonné, pour le compte du fournisseur de contenu, via un système très efficace. L’internaute n’aura, explique l’association, que « deux clics » à faire pour payer, sans créer aucun compte utilisateur, ni rentrer aucun identifiant ou mot de passe. Il est identifié automatiquement, et sa facture Internet est automatiquement débitée du montant correspondant.

Plus précisément, la procédure varie selon l’opérateur : l’identifiant et le mot de passe de l’abonné doivent tout de même être saisis systématiquement chez SFR ; chez Bouygues Telecom, pour le premier achat seulement, s’il est supérieur à 10 euros ; chez Free, pour le premier achat uniquement. Mais chez l’opérateur historique, le système est proposé dans sa version la plus « pure » : le fameux « double clic » exigé par le Code civil – le premier pour accéder à un récapitulatif, le second pour valider le panier – vaut non seulement acceptation du contrat, mais surtout paiemen : la somme apparatra sur la prochaine facture, et sera bien souvent payée par l’abonné sans aucune intervention de sa part, par le simple jeu du prélèvement automatique. Comment est-ce techniquement possible ? Le poste informatique utilisé se connecte au réseau par l’intermédiaire d’un abonnement nominatif, auquel est associé une adresse IP unique, qui sera reconnue et permettra le paiement par simple clic. On aura compris que n’importe quel ordinateur connecté via l’accès Internet familial permettra le paiement, peu importe qui l’utilise.

Afin de mieux apprécier l’innocuité ou les dangers du système, précisons que le montant mensuel total des achats par ce moyen est normalement plafonné à 60 euros ⁹⁸C’est en tout cas le chiffre retenu chez Orange : https://assistance.orange.fr/ordinateurs-peripheriques/installer-et-utiliser/un-service-d-orange/les-achats-en-ligne/internet/internet-personnaliser-un-montant-maximum-d-achat_130042-40575.. La plupart du temps, les petits contenus numériques concernés sont facturés quelques dizaines de centimes, mais le prix unitaire peut aller jusqu’à 30 euros, et il est possible de souscrire un abonnement hebdomadaire pour un prix allant jusqu’à 5 euros ⁹⁹http://internetplus.fr, « espace éditeurs », rubrique « généralités ». Le danger est alors l’accumulation de « micro prélèvements » avant que le titulaire de l’abonnement ne s’aperçoive qu’un service lui est facturé..

298. Dangers pour les mineurs – Du point de vue des éditeurs de contenus, un tel système est très séduisant, puisqu’il maximise le « taux de conversion », c’est-à-dire l’aptitude d’un site marchand à transformer un visiteur en client payant ¹⁰⁰C’est ce même indicateur qui avait chuté chez plusieurs commerçants lorsqu’ils avaient mis en place le système 3D secure alors qu’il n’était pas encore suffisamment connu du public.. Du point de vue des clients, corrélativement, le système ne semble pas sans danger. Certains vendeurs de contenus tentent de rendre les mentions relatives au paiement les plus discrètes possible, ce qui se révèle certainement très efficace lorsque c’est un enfant ou un jeune adolescent qui est aux commandes de l’ordinateur. Les FAI ont réagi, en incorporant aux contrats qu’ils passent avec les éditeurs de contenus des « chartes » ou « recommandations déontologiques » ¹⁰¹http://internetplus.fr, « espace éditeurs », « déontologie ». Sur cette page, on découvre que des « Commissions déontologiques » ont été créées, et se réunissent régulièrement pour tenter d’imposer de bonnes pratiques.. Puisqu’il y est renvoyé au sein des conventions passées entre les FAI et les fournisseurs de contenu, ces documents acquièrent, en dépit de leur dénomination, une valeur contractuelle obligatoire. Or, ils prévoient un principe de « loyauté à l’égard des utilisateurs », qui prescrit une transparence tarifaire, et ils posent des règles de forme précises s’agissant de la présentation des offres (choix des polices d’écriture, couleur, taille…). Il nous est cependant arrivé de découvrir des sites dont la présentation dérogeait assez nettement à ces principes, par exemple en marquant en très gros caractères qu’un téléchargement de sonnerie pour téléphone mobile était à zéro euro, et en très petits caractères qu’il s’agissait d’un abonnement facturé 5 euros par semaine, dont seule la première semaine était gratuite ¹⁰²Il n’est pas possible de donner d’adresse pour exemple, les sites affichant de mauvaises pratiques changeant souvent d’URL, de présentation, ou disparaissant régulièrement..

Quand bien même les règles formelles de présentation des offres seraient parfaitement respectées, le risque de dérapage semble réel lorsque le public visé est particulièrement jeune. Le quotidien régional Le Télégramme relate une histoire édifiante de ce point de vue ¹⁰³« Jeux Internet. Attention aux pièges ! », article letelegramme.com du 3 janvier 2010.. Elle concerne Habbo Hotel, un jeu en ligne prisé des adolescents, basé sur le modèle économique du free-to-play, précédemment décrit : l’utilisation est gratuite, mais des options payantes augmentant l’agrément de jeu sont proposées ; elles peuvent être réglées via « Internet plus » ¹⁰⁴V. http://www.habbo.fr/credits.. Cela n’avait pas échappé à deux garçons de 9 et 12 ans, qui ont utilisé l’abonnement de la Maison des jeunes de Questembert, dans le Morbihan, pour s’acheter progressivement 600 euros de « mobilier virtuel » pour décorer leur univers de jeu ¹⁰⁵Article précité. La somme atteinte, au regard des plafonds précités associés au système « Internet plus » s’explique sans doute par le caractère professionnel de l’abonnement (le plafond est alors plus élevé, comme nous l’avons indiqué), associé à une absence de réaction immédiate à réception de la première facture anormale.. L’éditeur du jeu a réagi, et les mentions d’avertissement destinées à son jeune public ont été clarifiées ¹⁰⁶On peut à présent y lire : « Internet Plus permet d’acheter avec ton abonnement à Internet. En l’utilisant, tu utilises des vrais euros, ce n’est pas gratuit! Demande l’autorisation à tes parents avant de l’utiliser! Ton achat apparaîtra sur ta facture Internet (ou celle de la personne qui paye ton abonnement Internet) ».. Malgré cela, il est difficile d’affirmer qu’elles parviendront à éclairer suffisamment le consentement d’enfants dont la conception de l’argent, avant un certain âge, est probablement confondue avec la seule figure de la monnaie fiduciaire, celle des pièces et des billets. L’idée qu’on peut dépenser une valeur correspondant à plusieurs dizaines d’euros en deux clics et sans autre formalité requiert certainement une maturité et une capacité à l’abstraction dont tous ne disposent pas ; il faut craindre en tout cas que ces aptitudes ne soient acquises plus tard que l’habileté à manier la souris.

299. Preuve du contrat – Mais de quelle preuve disposerait le fournisseur de contenu, si l’existence du contrat était niée par son client ? Ici, aucun formulaire n’est rempli, aucune adresse de livraison n’est précisée, et, surtout, aucun moyen de paiement personnel à son porteur n’est employé. Il ne reste donc qu’une trace informatique de la transaction dans les logs d’un serveur. Toutefois, la valeur probante de ces logs pourrait être renforcée en l’espèce par le fait que c’est le FAI qui enregistre le paiement, et non le fournisseur de contenu. Au moment de payer, en effet, le client est redirigé vers une page appartenant non au vendeur de sonnerie de téléphone, de « crédit Habbo », etc., mais à son FAI. Ce prestataire apparaît du point de vue de la transaction comme un tiers — comme un tiers intéressé toutefois, par la perception d’une commission — ce qui pourrait le faire apparaître aux yeux du juge comme plus fiable. Il n’y aura donc, pour convaincre que le juge, que la seule présomption tirée de ce document. Toutefois, ce log pointe non pas vers un individu déterminé, mais vers une adresse IP. Éloignons-nous un instant de l’idée de fraude strictement familiale : l’IP aurait pu être usurpée par un pirate ; un simple ami de passage dans le foyer aurait pu se trouver aux commandes du poste informatique ; un voisin auquel on aurait accordé un droit temporaire d’user de l’accès Internet en wifi aurait pu en profiter pour faire des achats via « internet plus » ¹⁰⁷Ce cas a été raconté sur un forum. Une personne avait accepté de « dépanner » un voisin qui venait d’emménager en lui donnant accès à son réseau wifi. Elle ignorait, comme beaucoup, que cela rendait possible une facturation sur sa tête de prestations payées via « Internet plus ».. Dans son appréciation de la solidité de la présomption, le juge devrait tenir compte de ces possibilités. Revenons à notre hypothèse : ce pourrait ne pas être l’abonné lui-même, mais par exemple l’un de ses enfants, qui a contracté. Or, les concepts classiques du droit des obligations ne permettent pas d’imputer l’opération contractuelle au foyer sans plus de précision. Allons plus loin : s’il était possible de prouver que c’est l’enfant qui a passé l’opération ¹⁰⁸Cela semble presque impossible, encore qu’on puisse faire à nouveau appel à une présomption de fait, tirée par exemple du type de contenu acheté, lorsque ce contenu est clairement destiné aux enfants., il serait théoriquement possible au parent d’agir contre le fournisseur de contenu en répétition de l’indu, car il a payé sans être débiteur ; à charge pour le fournisseur de contenu de se retourner ensuite contre l’enfant ¹⁰⁹Poursuivons cette pure hypothèse d’école : si l’enfant a un patrimoine, le parent pourrait à nouveau avoir à payer, mais ès qualités d’administrateur légal de ses biens..

300. Obligation occulte de surveillance de l’accès à Internet – Nous constatons donc que de tels contrats peuvent être attaqués sous de multiples angles. Mais tout cela est destiné à rester pure spéculation théorique, tant il est certain que personne ne se donnera la peine d’agir en justice pour de pareils montants. Surtout, le véritable problème posé par ce type de système de paiement se situe à un autre niveau. Pourquoi ne pas admettre qu’il pèse sur le souscripteur de l’abonnement un véritable devoir de surveiller l’usage qui est fait de ses postes informatiques ? Les conditions générales sont d’ailleurs d’ores et déjà en ce sens : « […] L’Abonné est notamment seul responsable de l’utilisation du service paiement Internet Orange […] toute connexion ou transmission de données effectuées en utilisant le service Paiement Internet Orange seront réputées avoir été effectuées par l’Abonné (…) et s’effectue sous sa responsabilité exclusive » ¹¹⁰Article 9 des « Conditions spécifiques relatives aux solutions de paiement Orange » (9 février 2017).. De plus, les problèmes probatoires peuvent être écartés par une convention de preuve, dont l’efficacité est ici envisageable, puisque les conditions générales qui la contiennent font l’objet d’une classique signature autographe lors de la souscription en boutique ¹¹¹Elles ne se heurtent donc pas à l’impossibilité logique que nous décrivions plus haut (supra, n° 290). Ainsi, l’art. 22 des « conditions générales de l’offre Livebox initiale » (6 avril 2017) stipule : « Pour les besoins du présent Contrat, les Parties conviennent que l’écrit sous forme électronique est admis comme support probant au même titre que l’écrit sur support papier. Les Parties conviennent de conserver les enregistrements informatiques et les copies papier des messages ou commandes qu’elles s’échangent pour l’exécution du présent Contrat de telle manière qu’ils puissent constituer des copies fidèles et durables au sens de l’article 1348 (sic) du code civil ». Ce texte pose cependant un problème puisqu’il ne fait que reprendre l’équation déjà posée par le Code civil selon laquelle l’écrit électronique équivaut à l’écrit papier ; or, les logs des serveurs Orange conservant la trace des transactions « Internet plus » ne sont pas, selon nous, des écrits électroniques.. Cette combinaison de clauses aboutirait à ce que le titulaire de l’abonnement ait effectivement à supporter sur son patrimoine tous les paiements réalisés via son adresse IP. Mais est-ce acceptable ? À propos de l’affaire de la Maison des jeunes de Questembert, une animatrice s’exclame : « Personne ne savait que cela existait » ¹¹²Article du Télégramme précité.. Ce sentiment est partagé sur de nombreux forums d’utilisateurs mécontents de ce système de paiement: personne n’était au courant qu’il était possible à ses enfants ou à un ami de passage de battre monnaie à partir de l’autorisation de prélèvement donnée au FAI à la souscription de l’abonnement ¹¹³De très nombreux internautes, dont l’auteur, ont découvert l’existence du système « Internet plus » en lisant la planche de Martin Vidberg, « Les paiements en ligne sont (presque) sécurisés », parue le 5 avril 2011 sur le blog de l’auteur, www.vidberg.blog.lemonde.fr.. Du moins cette surprise se retrouvait-elle parmi les abonnés aux opérateurs acceptant d’activer le système par défaut, sans exiger aucune donnée d’authentification pour valider la première utilisation.

L’étude a montré que le processus de conclusion des contrats par voie électronique prenait la forme de procédures simples et rapides, au prix d’une double fragilité : celle du consentement, si peu éclairé et si peu dense qu’on en vient à douter qu’une authentique rencontre des volontés se soit produite, et celle des preuves que la convention a bien été passée, par une personne identifiée. Mais lorsque les technologies numériques sont mises au service de l’exécution du contrat, le laxisme peut faire place à la rigueur (II).