Voir également les dispositions relatives aux renseignements personnels.

Les obligations varient selon les intervenants et selon le type de paiement.

La carte de crédit est le moyen de paiement sur Internet le plus répandu.

• Banque ou émetteur de carte. Obligation d'archiver vos données financières de façon sécuritaire, ce qui est généralement le cas.
• Consommateur. Le régime des cartes de crédit est généralement doté d'un système d'assurance, tel que cela apparaît aux articles 123 et 124 de la Loi sur la protection du consommateur qui prévoit qu'une franchise d'un maximum de 50$ peut être prévue. Néanmoins, ceci ne vaut que s'il est prouvé que le titulaire de la carte (c'est-à-dire le consommateur) a agit avec diligence pour dénoncer la perte ou la corruption de la carte. Il importe donc de ne pas perdre de temps pour contacter votre émetteur de carte. Le problème reste toutefois entier lorsque le numéro de la carte de crédit a été utilisé frauduleusement sans que la carte n'ait été volée ou perdue.
• Commerçant. Concernant un commerçant qui dispose d'un site Internet, il n'existe pas, au meilleure de notre connaissance, d'obligation formelle à ce que la transmission des informations inscrites par le consommateur soit effectuée d'une manière sécuritaire. L'une des rares références que l'on peut identifier est la norme établie par le Bureau de la consommation : "Code canadien de pratiques pour la protection des consommateurs dans le commerce électronique " (2004). Ce code n'a toutefois pas d'effet contraignant.

Le droit français en la matière est essentiellement d'inspiration européenne.

• Directive 97/7 sur les contrats à distance
• Recommandation 97/489 relative aux opérations effectuées au moyen d'instruments de paiement électronique
• Communication 2001/66 relative au commerce électronique et aux services financiers
• Communication 2002/208 consacre le désir d'un cadre juridique global contraignant en matière de paiement électronique
• Communication 2002/263 relative à e-Europe 2005 : une société de l'information pour tous

Les textes européens traitant de façon expresse cette problématique n'ont aucune valeur contraignante. Toutefois, certaines directives abordent de façon indirecte la question des paiements électroniques.

• Directive européenne sur les virements transfrontaliers 97/5/CE
• Directive concernant les emmeteurs de monnaie électronique 2000/46/CE
• Directive sur la commercialisation à distance des services financiers 2002/65/CE

Selon l'article 57-2 du décret-loi du 30 octobre 1935 (remanié en 1991), le paiement électronique n'est révocable qu'en cas de perte ou de vol. Toutefois, il est admis en pratique qu'un tel paiement sera révocable dans le cas où le paiement aura eu lieu par seule communication de numéro de la carte : article L132-4 et L 132-5 du Code monétaire et financier

Cour de Cassation, Chambre commerciale, 2004-06-23, 02-15547, (Publié au bulletin)
Le paiement étant intervenu à distance, sans utilisation physique de la carte ni saisie du code confidentiel, il en résulte pour la banque l'obligation d'annuler le débit qui était contesté.