Par rapport aux débuts de la directive, cette « version 2 » permet de faire évoluer les habitudes ainsi que la sécurité de tous : consommateurs, banques et prestataires. Voici comment.

Le premier cap franchi avec la DSP 1

La DSP 1 (Directive sur les Services de Paiement 1) a été conçue par l’Union européenne pour réglementer les services de paiement. Cette réglementation concerne tous les États membres de l’UE ainsi que l’Espace économique européen (EEE). Elle est entrée en vigueur en décembre 2009. Objectif : encourager la concurrence entre banques/prestataires en Europe, afin de proposer de meilleurs services, et ainsi protéger les consommateurs.

Ce qu’a apporté la DSP 1

La DSP 1 a permis :

  • D’améliorer la sécurité des paiements et des opérations en ligne, et de limiter les risques de fraudes (notamment l’usurpation d’identité).
  • D’introduire officiellement le statut de prestataire de services de paiement (PSP), et de l’encadrer. Ainsi des sociétés autres que des banques, banques centrales et agences gouvernementales ont maintenant le droit de s’occuper de transactions financières.
  • D’établir une transparence des banques et PSP sur leurs services, leurs délais d’exécution et leurs frais (taux de charge, etc.).
  • D’accélérer la création de la SEPA (« Single Euro Payments Area »), une zone unique de paiement. Grâce à cela, les virements bancaires et prélèvements automatiques en UE et dans l’EEE sont plus faciles et moins chers.

Avec le temps, la DSP 1 ne suffit plus

En conséquence, durant les dix années d’application de la DSP 1, de nouveaux intermédiaires sont apparus. Par exemple, les « fintechs » (contraction de « financial technology ») offrent des services et des moyens de paiements innovants, tirant parti des applications mobiles ou d’Internet, à des prix toujours plus bas. Les transactions électroniques se multiplient de plus en plus, entraînant une  incertitude grandissante sur la sécurité des paiements et autres opérations en ligne (dont l’usurpation d’identité constitue la menace numéro une).

La sécurité au cœur des changements par rapport à la DSP 1

La sécurité et la confidentialité des données sont devenues la préoccupation principale de tous, qu’il s’agisse d’échanges entre entreprises, ou entre entreprises et particuliers. Selon les normes établies par la DSP 1, un niveau d’authentification dit « faible » demeure acceptable. Sauf qu’avec toujours plus de nouveaux moyens de paiement, de nouveaux intervenants et de nouvelles offres en la matière, les possibilités de fraude et de perte de visibilité grandissent.

Malheureusement, la DSP 1 n’impose aucune condition concernant le niveau de vérification d’une identité, lors d’un paiement ou d’un virement. Un simple mot de passe ou une question secrète suffisent pour respecter la réglementation. Or cela n’est plus assez maintenant.

Aujourd’hui, si les utilisateurs, les banques et les prestataires veulent assurer la privacité et la sécurité de leurs transactions, il faut passer par une authentification « forte ». Il faut pouvoir vérifier au moins doublement l’identité digitale d’un interlocuteur afin d’autoriser une opération, et ainsi maintenir une confiance réciproque. C’est là qu’entre en jeu la DSP 2.

L’authentification forte, une obligation de la DSP 2

Qu’il s’agisse d’un achat, d’une procédure administrative ou d’un échange de données, il faut d’autant plus garantir que l’interlocuteur correspond bien à la personne physique ou morale attendue. C’est pourquoi à partir de septembre 2019, l’authentification forte va devenir une obligation.

Une authentification multi-facteurs

L’authentification forte est également appelée « authentification multi-facteurs », et il n’y a rien de plus sécurisé à l’heure actuelle. Pour prouver son identité en ligne, il faudra maintenant s’identifier via deux facteurs minimum, et non plus un seul comme sous l’application de la DSP 1. Il faut au moins deux des trois preuves suivantes :

  • Une information connue de l’interlocuteur seul (l’habituel mot de passe, la réponse à une question secrète, etc.) ;
  • La reconnaissance d’un équipement électronique appartenant à l’utilisateur (smartphone, ordinateur, clé USB, carte à puce, carte magnétique, certificat électronique, etc.) ;
  • La biométrie physique ou comportementale de l’utilisateur, via un trait unique à chaque individu (empreinte digitale, scan rétinien, reconnaissance vocale ou faciale, etc.).

Profitons-en pour ajouter que d’autres facteurs d’authentification apparaissent peu à peu, comme la géolocalisation ou le profilage comportemental. Mais ils ne sont pas encore suffisamment employés.

Les exceptions autorisées par la DSP 2

Toutefois, la DSP 2 accepte des exceptions à l’authentification forte, suivant le niveau de risque, le montant ou la récurrence du paiement. Sont concernés : les opérations à risque faible et/ou à montant faible (moins de 30 €), les paiements par carte professionnelle, les abonnements et les paiements récurrents, les transactions MOTO, les listes blanches et les transactions interrégionales.

Une nouvelle dynamique dans les échanges sécurisés

Avec la DSP 1, l’authentification forte était facultative. En la rendant obligatoire, la DSP 2 a un impact conséquent sur la santé et le fonctionnement du système de paiement en vigueur.

Du côté des consommateurs

Du côté des consommateurs, la directive 2 :

  • Interdit la surfacturation, autrement dit l’application de suppléments sur les paiements par carte bancaire. Cette interdiction vaut aussi bien pour les achats en ligne que dans un commerce physique.
  • Aide à restaurer la confiance des consommateurs dans les achats en ligne de biens et de services. Les gens usent de plus en plus du paiement instantané, mobile ou sans contact. La DSP 2 permet de lutter plus efficacement contre la fraude, et de confirmer l’identité de l’utilisateur quel que soit le type de transaction (à distance ou de proximité) et le support employé.

Selon Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux : « Les consommateurs de l’UE pourraient économiser plus de 550 millions d’euros par an. »

Les conséquences pour les banques et les prestataires

Du côté des  banques et des nouveaux acteurs fintech du paiement, la DSP 2 :

  • Encourage toujours plus l’innovation ;
  • Plus que la DSP 1, elle renforce la compétition avec les nouveaux prestataires (notamment les fameuses fintechs) ;
  • Enfin, elle oblige les banques et prestataires de services de paiement à partager leurs données de transaction. Si des clients souhaitent faire migrer leurs comptes vers de nouveaux opérateurs financiers, leur démarche est facilitée. Plus que la DSP 1, la DSP 2 favorise donc une concurrence équitable dans un marché en constante évolution.

La prise en compte de nouvelles prestations

Depuis la création de la DSP 1, les besoins et les technologies ont beaucoup évolué. Les nouvelles règles de la directive 2, notamment sur la facilité des échanges de données, permettent de réglementer deux nouveaux types de services de paiement :

  • Les services d’initiation de paiement (statut PISP) : le prestataire permet aux nouveaux acteurs d’initier des paiements au nom du payeur. En clair, cela veut dire qu’au lieu de donner l’ordre de paiement à sa banque, l’utilisateur peut passer par le PISP, qui va à son tour faire la demande à la banque.
  • Les services d’information sur les comptes (statut AISP) : ici, le prestataire permet aux nouveaux acteurs de consulter leurs comptes de manière centralisée. Via une interface unique (application, portail web, etc.), l’utilisateur peut consulter les soldes et les transactions d’un ou de plusieurs comptes issus de banques différentes.

La mise en place de nouvelles infrastructures

C’est un gros changement par rapport au temps de la DSP 1. Pour que tout ceci fonctionne, les banques et les PSP sont forcées de mettre en place de nouvelles infrastructures. Pour s’y conformer, banques et fintechs doivent :

Échanger via des API

Les API (« Applications Programming Interface ») offrent un canal de communication sécurisé. Il faut donc qu’elles adaptent leurs structures informatiques en conséquence. C’est via ces API que les prestataires de services de paiement peuvent accéder aux données bancaires des consommateurs, et/ou autoriser des règlements.

Obtenir les certificats électroniques appropriés

Ces certificats permettent d’échanger des données sécurisées entre leurs serveurs et ceux des PSP (ou des agrégateurs d’informations). Deux types de certificats sont requis par la DSP 2 :

  • Le certificat eIDAS QWAC (qui veut dire « Qualified Website Authentication Certificate »). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier l’un l’autre.
  • Le certificat eIDAS Qseal (pour « Qualified electronic Seal Certificate »). Il permet aux serveurs de sécuriser une transaction.

Ces certificats permettent en outre la traçabilité des échanges.

Le label eIDAS est la meilleure garantie de qualité et de sécurité pour l’identification électronique, les services de confiance et l’échange de documents numériques. Seuls des prestataires approuvés par l’Europe, ou QTSP (« Qualified Trust Service Providers ») peuvent founir ces certificats QWAC et QSEAL. CertEurope, filiale du groupe Oodrive, fait partie des meilleurs prestataires de confiance reconnus. Elle fait d’ailleurs partie de la liste de confiance des QTSP de l’Open Banking Europe.

La DSP 2 pousse donc davantage le principe établi par sa grande sœur la DSP 1. Les échanges d’informations entre consommateurs, banques et PSP sont encore simplifiés, et leur sécurité est accrue.

Hélène Toutchkov

Hélène Toutchkov
Content Manager

Commander un certificat

User
Certificat électronique de personne physique
Corporate
Certificat électronique pour serveur
(authentification, chiffrement, cachet)