Réserver une table pour, au final, ne pas se présenter ou annuler au dernier moment est un vrai problème pour les restaurateurs à bien des niveaux. . Le client fournit par téléphone, internet, ou tout autre moyen, ses coordonnées et les références de sa carte de crédit. Et s’il n’honore pas sa réservation, il est débité en conséquence.
Respect de la loi, du RGPD, hauteur des pénalités infligées, conservation des données, litige potentiel avec le restaurateur… de nombreuses questions entourent encore la pratique, encore très peu encadrée.
Qu’appelle-t-on une empreinte bancaire?
L’Union luxembourgeoise des consommateurs (ULC) et le Centre européen des consommateurs (CEC) au Luxembourg assurent ne jamais avoir été confrontés à cette question et n’ont donc pas de définition précise à fournir. Pour Aline Rosenbaum, juriste à l’ULC, elle ne peut être considérée comme un .
Les arrhes correspondent à une somme versée d’avance lors d’un achat de prestation ou de services. Sauf si cela est prévu dans le contrat, le professionnel garde cette somme, même si l’achat n’est finalement pas effectué. L’acompte crée pour sa part une obligation de tenir l’engagement, d’un côté comme de l’autre. Le professionnel doit fournir la marchandise ou le service, et le consommateur doit l’acheter, sauf accord contraire. Et s’il se rétracte, il devra souvent honorer des dommages et intérêts.
Si aucun débit n’est réalisé avant le repas, mais seulement après, en cas de désistement, «l’argent serait alors prélevé à titre d’indemnité pour résiliation», poursuit Aline Rosenbaum.
qualifie de son côté l’empreinte bancaire comme étant une garantie que le client dispose du solde suffisant pour payer.
Dans les faits, le restaurant Clairefontaine, qui demande une empreinte bancaire «au cas par cas», précise: «Nous envoyons un lien au client. Ce sont eux qui encodent leurs références de carte avec tout ce qui est demandé. Ils ne paient rien en avance. En cas de ‘no show’, nous activons la touche pour qu’ils soient débités du montant prévu.» Il correspond au prix du menu, 100 euros le soir, et 59 euros le midi. Mais «nous n’avons jamais eu à le faire».
Un restaurant, ou même un hôtel ou un médecin, peut-il demander ces informations?
Qu’il s’agisse d’une avance, d’arrhes, d’acompte ou d’indemnité pour résiliation, «il n’y a pas d’interdiction pour un commerçant de faire cela», analyse Aline Rosenbaum. «Je n’ai connaissance d’aucune disposition spécifique qui limiterait cela à certains secteurs.» Dans tous les cas, «le consommateur devrait avoir été informé au préalable par le restaurateur du principe et du montant de l’indemnité».
Aucun plafond d’indemnité n’est non plus fixé par la loi. Même si un acompte, «par définition, ne correspond qu’à une partie du prix total». En cas de litige, il reviendrait à un juge de décider si un montant peut être considéré comme abusif ou non. L’indemnité ne «devrait pas dépasser manifestement le préjudice réel subi par le restaurateur».
«En droit, quand ce n’est pas interdit, c’est autorisé», confirme Julie Jasson, juriste au CEC. Mais le juge reste le garde-fou de mesures «non équitables ou pas claires». Lors d’une transaction par internet, il faut prendre connaissance des conditions générales du commerçant, rappelle-t-on.
Un commerçant peut-il demander ces informations par téléphone?
A priori, là non plus, il n’y a pas de règle. Un contrat «peut être passé de manière orale». Julie Jasson conseille alors au client de «demander l’utilisation qui va être faite» des données. Tout en ajoutant qu’il y a «toujours un risque. On ne sait pas à qui on parle, si la personne travaille vraiment pour le restaurant ou s’il peut s’agir d’un salarié de mauvaise foi qui pourrait les utiliser pour autre chose. Même par mail, quelqu’un peut consulter l’ordinateur et voler des données.»
Il faut «vérifier régulièrement ses comptes et contacter sa banque en cas de retraits suspects». Elle imagine que, si la pratique s’étend, elle pourrait être «régulée dans le futur».
Qu’en est-il de la conservation des données?
«Il s’agit d’une collecte de données à caractère personnel», définit , avocat chez NautaDutilh, spécialisé dans la protection des données. «C’est l’application du règlement général sur la protection des données (RGPD).» Le client doit «être informé en bonne et due forme de la manière dont ses données sont traitées et de leur finalité».
Dans le cadre d’un restaurant, où elles visent à éviter un «no show», «dès le moment où le client vient, ses données doivent être effacées. S’il ne vient pas, elles ne devraient être conservées que jusqu’à la résolution du litige.»
En cas de débit d’un montant supérieur à celui défini, ou dans un autre contexte, le consommateur peut de toute façon réclamer son remboursement, précise Aline Rosenbaum.
Quelle protection pour les données bancaires?
«En général, pour tout paiement e-commerce, trois étapes sont nécessaires. C’est ce qu’on appelle l’authentification forte du client», répond Judith Gledhill, COO de l’Association des banques et banquiers, Luxembourg (ABBL). On demande «le numéro et le nom du titulaire de la carte, le cryptogramme et la confirmation soit par code PIN, soit par un moyen d’authentification Luxtrust. Si l’un des trois éléments est absent, alors, en général, aucun paiement ne peut être débité.»
Ce n’est pourtant pas toujours le cas. «La seule façon sécurisée de communiquer ses coordonnées bancaires complètes est de le faire dans le cadre d’un paiement sécurisé en ligne, via système 3D Secure», complète Aline Rosenbaum.
En cas de faillite de l’établissement, le consommateur est-il remboursé?
«Le consommateur aurait alors une créance envers le restaurateur, qui serait à considérer comme toute autre créance chirographaire. Il y aurait donc un grand risque qu’elle ne soit pas récupérée», estime la juriste.
Et si le client tombe malade et ne peut pas venir?
«Tout dépend de l’accord conclu» entre les parties, pense la juriste.