DSP2 et authentification forte : que prévoit la directive européenne ?

SOMMAIRE
  • SOMMAIRE

La directive européenne DSP2 et authentification forte : que prévoit la directive européenne ?

directive européenne dsp2

La directive européenne DSP2 a un impact significatif sur l’écosystème du paiement. Elle impacte les banques, les nouveaux acteurs FinTech du paiement, mais également les consommateurs. Dans cet article, nous nous focaliserons sur la manière et les moyens requis par la directive pour que les consommateurs s’authentifient dans le contexte des transactions de paiement. Avant DSP2, l’authentification forte restait seulement recommandée. Avec DSP2, elle devient obligatoire.

La directive sur les services de paiement (DSP2) a pour objectif de favoriser l’innovation, la concurrence et l’efficience. Elle instaure notamment des normes de sécurité plus strictes pour les paiements en ligne. Et cela afin de renforcer la confiance des consommateurs dans les achats en ligne. La directive européenne DSP2 est applicable depuis le 13 janvier 2018. Sauf en ce qui concerne les mesures de sécurité décrites dans les normes techniques et applicables à compter de septembre 2019.

Les mesures de sécurité énoncées dans les normes techniques de réglementation découlent de deux objectifs clés de la DSP2 :

  • Assurer la protection des consommateurs
  • Renforcer la concurrence et garantir des conditions de concurrence équitables dans un marché en mutation rapide.

La directive européenne DSP2, authentification forte : des exigences de sécurité plus strictes

DSP2, authentification forte : des exigences de sécurité plus strictes

Une amélioration de la sécurité des paiements électroniques assure la protection des consommateurs. C’est la raison pour laquelle les normes techniques de réglementation instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Les prestataires de services de paiement incluent les banques et les autres établissements de paiement. Ces normes définissent les exigences à remplir pour permettre une « authentification forte » des clients.

Avant la directive européenne DSP2, l’authentification forte restait seulement recommandée. Avec DSP2, elle devient obligatoire.

Qu’est-ce que l’authentification forte ?

Qu’est-ce que l’authentification forte ?

Les normes techniques prévues dans la directive DSP2 font de l’authentification forte la condition de base. Et ce pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne. Cela implique que, pour prouver son identité, l’utilisateur devra répondre au moins à deux des trois conditions suivantes :

  • Un mot de passe ou un code que seul l’utilisateur connaît
  • Un appareil (téléphone mobile, carte à puce, etc) que seul l’utilisateur possède
  • Une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale).

Très concrètement, comment cela se matérialise-t-il dans notre quotidien ? La Banque Centrale Européenne estime à 69,2 milliards le nombre de paiement par carte par an en Europe. Un achat en ligne peut se réaliser au moyen d’un numéro de carte bancaire et de sa confirmation par un code reçu par sms via le dispositif 3D Secure. Ce système constitue un moyen de sécurisation courant utilisé dans le e-commerce. Selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement pour l’année 2017, 73% des commerçants en avril 2018 en étaient équipés.

Parmi les différents moyens disponibles pour une authentification forte, 3D Secure est sans contexte la double sécurité la plus courante dans l’e-commerce. En avril 2017, ce mécanisme s’applique à 71% des e-commerçants et concerne 35% des paiements, selon l’Observatoire de la sécurité des moyens de paiement.

Vers une amélioration de la sécurité des paiements en ligne

Vers une amélioration de la sécurité des paiements en ligne

La directive DSP2 rend donc l’authentification forte obligatoire. En rendant l’authentification forte obligatoire, le but de la directive est une vérification de l’identité des utilisateurs. Et ce pour toutes les transactions à distance et de proximité, quel que soit le canal utilisé.

Les banques et autres prestataires de services de paiement doivent désormais mettre en place les infrastructures nécessaires cette l’authentification forte. Le recours à l’authentification forte est rendue obligatoire 18 mois après l’entrée en vigueur des normes techniques de réglementation. C’est-à-dire après leur publication au Journal Officiel de l’Union européenne. L’échéance est le 14 septembre 2019.

La directive européenne prévoit cependant quelques exceptions à la mise en place de l’authentification forte. Des exceptions qui font suites aux craintes soulevées par certains e-commerçants. Bien que cette technique soit efficace contre la fraude, les professionnels du secteur regrettent tout de même qu’elle rallonge le tunnel d’achat et fasse baisser le taux de conversion.

Authentification forte : des exceptions prévues par la directive européenne DSP2

Authentification forte : des exceptions prévues par la directive

Voici les exceptions prévues par la directive européenne DSP2 :

  • Les opérations à faible montant et à risque faible

Il s’agit notamment des montant inférieurs à 30 euros. Quant au niveau de risque il s’évalue en fonction du taux moyen de fraude chez l’émetteur de la carte et de l’acquéreur qui traite la transaction.

  • Les abonnements et opérations récurrentes

L’authentification forte ne se soumet pas au frais d’abonnements et transactions récurrentes. Cela sera valable dès la deuxième opération. En effet, l’opération initiale nécessite une procédure SCA (Strong Customer Authentication). Si le montant se modifie, l’authentification via 3D Secure sera demandée à chaque changement.

  • Les listes blanches

Chaque usager a la possibilité de se créer une liste de bénéficiaires de confiance, la liste blanche.

Leur banque conserve cette liste. Ces bénéficiaires de confiance sont des commerçants qui ne sont pas concernés par l’authentification via 3D Secure. Le but avec cette exception est d’éviter aux consommateurs qui achètent régulièrement auprès d’une même enseigne d’entrer des SCA supplémentaires.

  • Les transactions MOTO

Les commandes de type MOTO (Mail Orders and Telephone Orders) seront systématiquement exemptées d’authentification via 3D Secure. En effet, ce type de transaction n’est pas considéré comme un paiement électronique.

  • Les transactions inter-régionales

Lorsque l’émetteur d’un paiement ou l’acquéreur de la carte est hors Europe, la transaction s’exempte de l’authentification forte prévue par la DSP2.

  • Les paiements par carte d’affaires

L’authentification forte le concerne pas les paiements effectués avec une carte professionnelle.

 

Comment l’authentification forte du client s’inscrit-elle dans le cadre de la directive européenne DSP2 ?

Comment l’authentification forte du client s’inscrit-elle dans le cadre de la directive DSP2 ?

Article 74 paragraphe 2

« Lorsque le prestataire de services de paiement du payeur n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du client, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».

Article 97 paragraphe 1

« Les Etats membres veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur :

  • Accède à son compte de paiement en ligne
  • Imite une opération de paiement électronique
  • Exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse »

Article 97 paragraphe 2

« En ce qui concerne l’initiation des opérations de paiement électronique visée au paragraphe 1, point b), les Etats membres veillent à ce que, pour les opérations de paiement électronique, les prestataires de services de paiement appliquent l’authentification forte du client comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire données ».

Article 97 paragraphe 3

«Eu égard au paragraphe 1, les Etats membres veillent à ce que les prestataires de services de paiement aient mis en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement ».

Article 97 paragraphe 4

« Les paragraphes 2 et 3 s’appliquent également lorsque les paiements sont initiés par l’intermédiaire d’un prestataire de services d’initiation de paiement. Les paragraphes 1 et 3 s’appliquent également lorsque l’information est demandée par l’intermédiaire d’un prestataire de services d’information sur les comptes ».

Article 97 paragraphe 5

« Les Etats membres veillent à ce que les prestataires de services de paiement gestionnaire du compte autorise le prestataire de services d’initiation de paiement et le prestataire de services d’information sur les comptes et se fonder sur les procédures d’authentification prévues par le prestataire de services de paiement gestionnaire du compte à l’intention de l’utilisateur de services de paiement conformément aux paragraphes 1 et 3 et, lorsque le prestataire de services d’initiation de paiement intervient, conformément aux paragraphes 1, 2 et 3 ».

Article 98 paragraphe 1

« L’ABE en étroite coopération avec la BCE et après avoir consulté toutes les parties concernées, y compris sur le marché des services de paiement, représentant tous les intérêts en présence, élabore des projets de normes techniques de réglementation à l’intention des prestataires de services de paiement visés à l’article 1er, paragraphe 1, de la présente directive, conformément à l’article 10 du règlement (UE) n°1093/2010, précisant :

  • Les exigences relatives à l’authentification forte du client visée à l’article 97, paragraphe 1 et 2
  • Les dérogations à l’application de l’article 97, paragraphe 1, 2 et 3, sur la base des critères établis au paragraphe 3 du présent article
  • Les exigences auxquelles doivent satisfaire les mesures de sécurité, conformément à l’article 97, paragraphe 3, afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées de l’utilisateur de services de paiement
  • Les exigences applicables aux normes ouvertes communes et sécurisées de communication aux fins de l’identification, de l’authentification, de la notification et de l’information, ainsi que pour la mise en œuvre des mesures de sécurité, entre les prestataires de services de paiement gestionnaires du compte, les prestataires de services d’initiation de paiement, les prestataires de services d’information sur les comptes, les payeurs, les bénéficiaires et d’autres prestataires de services de paiement ».

Article 98 paragraphe 2

Les projets de normes techniques de réglementation visés au paragraphe 1 s’élaborent par l’ABE en vue de garantir :

  • Un niveau de sécurité approprié pour les utilisateurs de services de paiement et les prestataires de services de paiement par l’adoption d’exigences efficaces et fondées sur les risques.
  • La sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement.
  • Et maintenir une concurrence équitable entre l’ensemble des prestataires de services de paiement.
  • La neutralité du modèle commercial et des technologies.
  • Le développement de moyens de paiement innovants, accessibles et faciles à utiliser.

A lire également : l’authentification forte, le fondement de l’identité numérique

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

13 thoughts on “DSP2 et authentification forte : que prévoit la directive européenne ?

  1. Sarah Livraille dit :

    Bonjour, est-ce que l’authentification forte s’applique si je suis en Europe et que je paie avec une carte française sur un site sécurisé dont le siège est enregistré au Canada ?

  2. Alina dit :

    Bonjour,
    Nous aurons besoin de plus d’informations pour pouvoir y répondre.
    Est-ce que vous parlez du paiement en ligne dans le cadre d’une commande de certificat électronique ou d’un paiement d’un autre service ?
    Merci !
    Cordialement,
    Les équipes CertEurope

  3. de St Leger dit :

    Bonjour,
    Est ce que l’authentification forte s’applique pour les virements ?
    Virements intra Européens , par exemple France Belgique
    Merci
    Bien à vous
    A++

  4. Alina dit :

    Bonjour,
    Afin de pouvoir traiter votre demande, nous aurons besoin des informations suivantes :
    1. Le nom de la société
    2. Les produits qui vous intéressent
    Merci !
    Cordialement,
    Les équipes CertEurope

  5. Gautier dit :

    Bonjour
    Ma banque m
    A demandé de modifier ma brique de paiement suite au changement de réglementation
    L entreprise web qui a créer mon site me demande 600€? Est ce normal?
    Je vous remercie
    Cordialement

  6. Alina dit :

    Bonjour,
    Nous ne sommes malheureusement pas qualifiés pour répondre à votre question.
    Nous vous recommandons de vous tourner vers votre banque et l’entreprise qui vous a facturé afin d’avoir plus d’informations sur les raisons de cette facturation.
    Cordialement,
    Les équipes CertEurope

  7. Philippe dit :

    Cette directive présupose que les consommateurs détiennent un téléphone mobile pour valider les opérations. Rien n’est prévu pour les personnes qui ne peuvent – ou ne veulent – utiliser ce genre de dispositif. Il y a donc là une discrimination des instances européennes vis-à-vis des citoyens qui ne sont pas équipés de téléphone mobile.

  8. François dit :

    Bonjour,

    Oney prétend imposer l’utilisation de leur application mobile, et donc le recours à un smartphone, en se réfugiant derrière la nécessité d’une authentification forte (DSP2), pour :
    – réaliser des achats en ligne ;
    – consulter son espace client.
    A défaut d’utilisation de l’application Oney, il est annoncé l’impossibilité dans un futur très proche de réaliser des achats en ligne et de consulter son espace client sur PC.

    Jusqu’à ce jour, chacune de ces opérations peut être réalisée :
    – pour l’achat en ligne : en saisissant le n° de CB et le cryptogramme à 3 chiffres au verso (1er moyen) et en recevant un code à 6 chiffres via SMS sur son mobile dont le n° a été enregistré sur l’espace client (2e moyen) ;
    – pour la consultation (sur PC) de l’espace client : en saisissant un identifiant et un mot de passe (1er moyen) et en renseignant un code à 6 chiffres reçu via SMS (2e moyen) sur le mobile préalablement renseigné dans l’espace client.

    Par conséquent, les mesures de sécurité imposées par la DSP2 sont bien respectées (2 conditions remplies sur 3).
    En ce sens : voir cette page du site de la Banque de France :
    https://www.abe-infoservice.fr/banque/moyens-de-paiement/quest-ce-que-lauthentification-forte

    => Pourriez vous confirmer ce point ? Merci d’avance.

    L’interprétation d’Oney consistant à assimiler le respect de la DSP2 à la nécessité de recourir à l’application Oney serait alors erronée.

    L’absence d’alternative constituerait une violation des recommandations de la Banque de France mentionnées supra, et surtout de leurs propres conditions d’utilisation de leurs cartes bancaires, dont la dernière version accessible ici https://www.oney.fr/informations-legales/conditions-cartes mentionne bien en point 3.2.2 la possibilité d’authentification via un code de sécurité à usage unique !

    Tout litige sur ce point relèverait alors du Médiateur bancaire, et à défaut du Tribunal de proximité : https://www.service-public.fr/particuliers/vosdroits/F20523

    Meilleures salutations.

  9. Alina dit :

    Bonjour,

    Nous ne sommes malheureusement pas qualifiés pour répondre à votre question.
    Chez CertEurope, notre rôle se limite à offrir des solutions d’authentification forte, notamment pour les acteurs du secteur bancaire.

    Cordialement,
    Les équipes CertEurope

  10. Guillaume dit :

    Bonjour,
    Merci pour votre article, je ne suis pas sur à 100 % de la pertinence de mon post mais peut-être saurez vous me répondre.
    J’utilise Airbnb (pour ne pas les nommer), et je me suis inscrit avec un mail auquel je ne peux plus avoir accès. J’ai donc fait la demande pour qu’ils me modifient eux mêmes mon mail de façon à pouvoir valider un process de sécurité en 2 étapes de façon à pouvoir modifier mes infos perso et donc recevoir les fonds.
    Ils me répondent que la législation européenne leur interdit de faire quoique ce soit et que les fonds doivent restés bloqués.
    Qu’en est-il?
    Merci

  11. Alina Novozhilova dit :

    Bonjour,
    Nous ne sommes malheureusement pas qualifiés pour répondre à votre question.
    Chez CertEurope, notre rôle se limite à offrir des solutions d’authentification forte.
    Cordialement,
    Les équipes CertEurope

  12. Chave antoine dit :

    Bonjour,

    J’aimerais créer une liste de bénéficiaires de confiance comme mentionné dans votre article. Comment dois-je m’y prendre ? Merci

  13. Alina Novozhilova dit :

    Bonjour,
    Les actions de Certeurope ne couvrent malheureusement pas cette zone. Nous vous recommandons de contacter votre banque.
    Cordialement,
    Les équipes CertEurope

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Icona Top