Nouvelle réglementation DSP2 : qui est concerné ?

SOMMAIRE
  • SOMMAIRE

Nouvelle réglementation DSP2 : qui est concerné

La réglementation DSP 2 est la Directive européenne sur les Services de Paiement, version 2. Aujourd’hui, l’authentification numérique est une étape nécessaire à la validation des paiements électroniques. Elle consiste à vérifier qu’une identité numérique correspond bien à l’identité de la personne physique ou morale attendue (en l’occurrence, consommateur, banque ou prestataire de paiement tiers). Plus l’authentification est dite « forte », et plus la sécurité est grande. Or pour garantir cette sécurité, l’authentification doit répondre aux critères d’exigence de la réglementation DSP2. Quels changements entraîne cette nouvelle réglementation pour chaque acteur dans ce domaine ?

Qu’implique la réglementation DSP2 en matière de sécurité ?

Qu’implique la DSP 2 en matière de sécurité ?

La réglementation DSP2 va plus loin en matière de sécurité que la réglementation en vigueur jusqu’à présent.

Pour les utilisateurs

Du côté des utilisateurs, cette nouvelle réglementation va :

  • Réduire le nombre de fraudes sur les paiements d’une façon significative ;
  • Protéger plus efficacement leurs données financières ;
  • Rendre encore plus simple et rapide l’utilisation et le déroulement de leurs transactions numériques.

Du côté des professionnels

Bien entendu, rien ne changerait sans la participation de professionnels. Il faut bien trouver des solutions adaptées aux besoins des utilisateurs. D’autant que des prestataires de services de paiement (PSP) ont le droit d’accéder aux comptes bancaires, de rassembler les données ou encore d’autoriser des paiements. La nouvelle réglementation a donc pour but de faciliter les échanges d’informations. Mais elle veut aussi encourager l’émergence de nouveaux prestataires de services tiers, ainsi que les innovations en matière de paiements mobiles ou en ligne.

L’intérêt d’une authentification numérique sûre

L’intérêt d’une authentification numérique sûre

Revenons un peu dans le temps. Pour encadrer l’authentification en ligne, la Commission européenne a mis en place en 2009 une première réglementation, la DSP 1. Cette directive s’applique à tous les services de paiement en ligne, ainsi qu’aux prestataires de services, dans toute l’Union européenne (UE) ainsi que l’Espace économique européen (EEE).

La DSP 1 se traduit par un système de vérification que vous connaissez bien, maintenant. Après un achat, le site marchand vous redirige sur une page web. Là, vous devez entrer une série de chiffres, transmise par la banque sur votre téléphone sous forme de texto.

Mais en à peine dix ans, les paiements et autres opérations bancaires en ligne se sont grandement répandus, et les acteurs se sont multipliés. Aujourd’hui, les besoins en matière de sécurité sont devenus bien plus grands que lorsque la DSP 1 est entrée en vigueur. D’où les nouvelles précautions mises en place par la DSP2.

L’évolution prévue par la nouvelle réglementation DSP2

L’évolution prévue par la nouvelle réglementation

Cette « version 2 » de la Directive européenne sur les Services de Paiement se fixe trois objectifs principaux :

  • Renforcer les droits des consommateurs, par exemple en réduisant les délais de remboursements suite à une contestation, ou en interdisant les surfacturations (c’est-à-dire quand vous payez un supplément lors d’un paiement par carte à l’étranger).
  • Rendre l’authentification toujours plus forte, pour des consultations de comptes et des paiements toujours plus sûrs.
  • Avec l’émergence de nouveaux services de paiement et de nouveaux fournisseurs, notamment des fintechs (c’est-à-dire des sociétés de technologie financières), l’enjeu consiste enfin à mieux protéger les partages d’informations entre les banques et les opérateurs tiers, comme la validation des opérations de paiement et autres.

Avec la DSP 2, les normes de sécurité à appliquer sont plus strictes pour les banques et les PSP. Mais les mouvements d’argent numérique à travers l’Union européenne et l’EEE sont plus sûrs, plus rapides, et plus simples pour tout le monde.

L’atout d’une authentification forte pour les utilisateurs

L’atout d’une authentification forte pour les utilisateurs

La DSP 2 a été adoptée le 25 novembre 2015, pour entrer en vigueur le 13 janvier 2018. Mais un gros changement reste encore à venir à la fin de l’année. Jusqu’à présent, l’authentification forte était seulement une recommandation pour les transactions numériques en Europe. À compter de septembre 2019, elle devient une obligation. Ce renforcement des mesures d’authentification a un double objectif.

Renforcer la sécurité

Elle doit assurer plus de sécurité aux transactions menées par les banques et les PSP. Le client peut ainsi accéder à son compte bancaire ou effectuer des règlements en ligne sans s’inquiéter. Il lui suffit de prouver son identité. Pour cela, la nouvelle directive européenne oblige les banques à recourir à une authentification multi-facteurs, c’est-à-dire la reconnaissance d’au moins deux des trois conditions suivantes :

  • Un mot de passe ou un code personnel connu de l’utilisateur seul ;
  • L’appareil utilisé (smartphone, pc portable, tablette, etc.) ;
  • Une caractéristique de l’utilisateur (via l’usage de la reconnaissance vocale ou faciale, ou encore de son empreinte digitale).

Permettre toujours plus de services

L’enjeu est aussi de multiplier les services et les possibilités. Par exemple, la réglementation de la DSP 2prend dorénavant en compte deux nouveaux types de services de paiement :

  • Les services d’initiation de paiement, qui proposent donc d’initier les paiements pour le compte des clients ;
  • Et les services d’information sur les comptes, qui offrent d’avoir sur une seule interface une vue d’ensemble de vos comptes et opérations. Du point de vue des prestataires et des banques, cette prise en compte doit encourager le développement de nouveaux systèmes de paiement, et stimuler la croissance économique.

Grâce à toutes ces nouvelles précautions, la réglementation DSP2 ouvre ainsi la voie à un écosystème open banking toujours plus efficace et transparent en Europe.

Le recours aux certificats électroniques pour les banques et les prestataires

Le recours aux certificats électroniques pour les banques et les prestataires

Selon la réglementation DSP2, les échanges doivent maintenant être sécurisés à l’aide de certificats électroniques d’authentification.

Les certificats imposés par la DSP2

Pour garantir l’authentification entre les serveurs des différents acteurs, les banques et les PSP doivent recourir à deux types de certificats électroniques :

  • Le certificat eIDAS QWAC, pour « Qualified Website Authentication Certificate ». Ces certificats permettent aux serveurs d’une banque et d’un prestataire de services de s’authentifier réciproquement, et de garder leurs échanges chiffrés.
  • Le certificat eIDAS Qseal, pour « Qualified electronic Seal Certificate ». Celui-ci aux serveurs des deux parties de verrouiller le contenu d’une transaction.

Ces deux certificats sont indispensables.

La certification eIDAS

Vous l’avez remarqué. Tous deux sont certifiés eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques). Ce label est un gage de qualité et de confiance en matière de signature électronique, et donc de confidentialité. Les banques et PSP sont sûres d’avec qui elles communiquent, ainsi que du haut niveau de protection de leurs données.

Ils sont délivrés par des autorités de certification, ou QTSP (pour « Qualified Trust Services Providers »), reconnues par l’Europe. CertEurope est la première autorité en la matière en France, et Tiers de Confiance. CertEurope fait  partie de la top liste des prestataires qualifiés et autorisés à délivrer des certificats QWAC et QSEAL. On retrouve également son nom sur la liste des QTSP de l’Open Banking Europe. Une double preuve de confiance.

La réglementation DSP2, une révolution qui profite à tous

La DSP 2, une révolution qui profite à tous

Avec les nouvelles exigences de la réglementation DSP2, les habitudes et les besoins de tout le monde sont positivement impactés :

  • Les utilisateurs y trouvent une garantie supplémentaire de sécurité, et leurs opérations et paiements sont facilités.
  • Les banques et les PSP, en respectant les règles de la DSP2, regagnent ainsi la confiance des clients. Ils affirment leur capacité à protéger leurs données financières et à gérer les paiements en ligne.
  • Certains acteurs (surtout les « Fintechs ») sont lancés dans une course à l’innovation et à la simplification, qui ne peut qu’apporter de nouvelles solutions pour encore plus faciliter les paiements et les opérations de tous.

Encadrés par la nouvelle réglementation de la DSP2, les paiements numériques en UE et dans l’EEE coûtent moins cher, sont plus faciles d’accès et d’utilisation, et franchissent un cap supérieur en matière de sécurité des données.

8 thoughts on “Nouvelle réglementation DSP2 : qui est concerné ?

  1. Poncet dit :

    Bonjour,

    Je vous écris à propos des achats en ligne par carte bancaire, dans l’optique de trouver un.e intervenant.e qui puisse m’éclairer :

    Quels sont les moyens de protection sur internet ? Aujourd’hui, la majorité des achats se fait grâce à une double authentification : 2nd code via SMS, boitier électronique, application, empreinte biométrique ou, plus récemment, code personnel pour se connecter à son compte en ligne. J’aimerais discuter de tous ces moyens de s’identifier, connaître leurs avantages et inconvénients. Et revenir en particulier sur le dernier évoqué, qui me semble le plus récent.

    J’espère être au bon endroit pour ces questions, sinon, n’hésitez pas à m’indiquer vers qui me tourner.

    Bien à vous,

    Anaïs Poncet

  2. anovozhilova dit :

    Bonjour madame Poncet,
    Cette question est en dehors du scope de notre offre DSP2. Nous fournissons des certificats qualifiés (cachet et SSL) pour les prestataires de paiements dans le cadre de la réglementation mais nous ne gérons pas les facteurs d’authentification à leurs plateformes.
    Il faut que vous vous adressiez aux prestataires de paiement.
    Cordialement,
    Équipe de CertEurope

  3. Nelly dit :

    Comment faire pour me connecter à mon compte ou il reconnaît pas mon identifiant ayant inscrit la DSP2 une protection mes avec sa je ne peux plus ouvrir mon compte Comment faire ?

  4. anovozhilova dit :

    Bonjour madame Lallemant,
    Pourriez-vous préciser un peu votre demande : Il s’agit de quel compte ? Sur quelle application ?
    Cordialement,
    Équipe de CertEurope

  5. CAMET dit :

    N ayant pas pu payer mon stationnement à Bordeaux j ai pris plusieurs PV étant donné que je n ai pas pu réglé cette prestation
    Pouvez vous m’envoyer un justificatif comme quoi depuis peu il faut un compte en ligne pour pouvoir payer des achats en ligne
    Merci

  6. anovozhilova dit :

    Bonjour,
    Nous sommes désolés, mais vous devez vous tromper d’interlocuteur. Votre demande ne concerne pas l’activité de CertEurope.
    Bien cordialement,
    Les équipes CertEurope

  7. Christophe N dit :

    Bonjour
    Je comprends vu l’article que tous les sites marchands doivent utilisé le dsp2
    Si l’on fait un paiement en ligne qui n’utilise pas du tout de dsp2 ( pas de double authentification du tout) , faut -il s’inquiéter ? Est ce qu’il y a un risque accru de piratage de nos données?
    Cordialement
    Christophe

  8. anovozhilova dit :

    Bonjour,
    L’absence d’une double authentification lors du paiement en ligne est un signe de non-conformité du marchand avec la directive DSP2, et dans ce cas nous vous déconseillons de réaliser des paiements sur ce site marchand.
    Nous vous invitons aussi à vous assurer que vous êtes sur une page cryptée au moment de rentrer vos informations bancaires (regardez la barre d’adresse : au début de l’adresse web, vous devriez voir les lettres « https »).
    Cordialement,
    Les équipes CertEurope

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Icona Top