La DSP 2 est la Directive européenne sur les Services de Paiement, version 2. Aujourd’hui, l’authentification numérique est une étape nécessaire à la validation des paiements électroniques. Elle consiste à vérifier qu’une identité numérique correspond bien à l’identité de la personne physique ou morale attendue (en l’occurrence, consommateur, banque ou prestataire de paiement tiers). Plus l’authentification est dite « forte », et plus la sécurité est grande. Or pour garantir cette sécurité, l’authentification doit répondre aux critères d’exigence de la DSP 2. Quels changements entraîne cette nouvelle réglementation pour chaque acteur dans ce domaine ?

 

Qu’implique la DSP 2 en matière de sécurité ?

La DSP 2 va plus loin en matière de sécurité que la réglementation en vigueur jusqu’à présent.

Pour les utilisateurs

Du côté des utilisateurs, cette nouvelle réglementation va :

  • Réduire le nombre de fraudes sur les paiements d’une façon significative ;
  • Protéger plus efficacement leurs données financières ;
  • Rendre encore plus simple et rapide l’utilisation et le déroulement de leurs transactions numériques.

Du côté des professionnels

Bien entendu, rien ne changerait sans la participation de professionnels. Il faut bien trouver des solutions adaptées aux besoins des utilisateurs. D’autant que des prestataires de services de paiement (PSP) ont le droit d’accéder aux comptes bancaires, de rassembler les données ou encore d’autoriser des paiements. La nouvelle réglementation a donc pour but de faciliter les échanges d’informations. Mais elle veut aussi encourager l’émergence de nouveaux prestataires de services tiers, ainsi que les innovations en matière de paiements mobiles ou en ligne.

 

L’intérêt d’une authentification numérique sûre

Revenons un peu dans le temps. Pour encadrer l’authentification en ligne, la Commission européenne a mis en place en 2009 une première réglementation, la DSP 1. Cette directive s’applique à tous les services de paiement en ligne, ainsi qu’aux prestataires de services, dans toute l’Union européenne (UE) ainsi que l’Espace économique européen (EEE).

La DSP 1 se traduit par un système de vérification que vous connaissez bien, maintenant. Après un achat, le site marchand vous redirige sur une page web. Là, vous devez entrer une série de chiffres, transmise par la banque sur votre téléphone sous forme de texto.

Mais en à peine dix ans, les paiements et autres opérations bancaires en ligne se sont grandement répandus, et les acteurs se sont multipliés. Aujourd’hui, les besoins en matière de sécurité sont devenus bien plus grands que lorsque la DSP 1 est entrée en vigueur. D’où les nouvelles précautions mises en place par la DSP2.

 

L’évolution prévue par la nouvelle réglementation

Cette « version 2 » de la Directive européenne sur les Services de Paiement se fixe trois objectifs principaux :

  • Renforcer les droits des consommateurs, par exemple en réduisant les délais de remboursements suite à une contestation, ou en interdisant les surfacturations (c’est-à-dire quand vous payez un supplément lors d’un paiement par carte à l’étranger).
  • Rendre l’authentification toujours plus forte, pour des consultations de comptes et des paiements toujours plus sûrs.
  • Avec l’émergence de nouveaux services de paiement et de nouveaux fournisseurs, notamment des fintechs (c’est-à-dire des sociétés de technologie financières), l’enjeu consiste enfin à mieux protéger les partages d’informations entre les banques et les opérateurs tiers, comme la validation des opérations de paiement et autres.

Avec la DSP 2, les normes de sécurité à appliquer sont plus strictes pour les banques et les PSP. Mais les mouvements d’argent numérique à travers l’Union européenne et l’EEE sont plus sûrs, plus rapides, et plus simples pour tout le monde.

 

L’atout d’une authentification forte pour les utilisateurs

La DSP 2 a été adoptée le 25 novembre 2015, pour entrer en vigueur le 13 janvier 2018. Mais un gros changement reste encore à venir à la fin de l’année. Jusqu’à présent, l’authentification forte était seulement une recommandation pour les transactions numériques en Europe. À compter de septembre 2019, elle devient une obligation. Ce renforcement des mesures d’authentification a un double objectif.

Renforcer la sécurité

Elle doit assurer plus de sécurité aux transactions menées par les banques et les PSP. Le client peut ainsi accéder à son compte bancaire ou effectuer des règlements en ligne sans s’inquiéter. Il lui suffit de prouver son identité. Pour cela, la nouvelle directive européenne oblige les banques à recourir à une authentification multi-facteurs, c’est-à-dire la reconnaissance d’au moins deux des trois conditions suivantes :

  • Un mot de passe ou un code personnel connu de l’utilisateur seul ;
  • L’appareil utilisé (smartphone, pc portable, tablette, etc.) ;
  • Une caractéristique de l’utilisateur (via l’usage de la reconnaissance vocale ou faciale, ou encore de son empreinte digitale).

Permettre toujours plus de services

L’enjeu est aussi de multiplier les services et les possibilités. Par exemple, la réglementation de la DSP 2 prend dorénavant en compte deux nouveaux types de services de paiement :

  • Les services d’initiation de paiement, qui proposent donc d’initier les paiements pour le compte des clients ;
  • Et les services d’information sur les comptes, qui offrent d’avoir sur une seule interface une vue d’ensemble de vos comptes et opérations. Du point de vue des prestataires et des banques, cette prise en compte doit encourager le développement de nouveaux systèmes de paiement, et stimuler la croissance économique.

Grâce à toutes ces nouvelles précautions, la DSP 2 ouvre ainsi la voie à un écosystème open banking toujours plus efficace et transparent en Europe.

 

Le recours aux certificats électroniques pour les banques et les prestataires

Selon la DSP 2, les échanges doivent maintenant être sécurisés à l’aide de certificats électroniques d’authentification.

Les certificats imposés par la DSP 2

Pour garantir l’authentification entre les serveurs des différents acteurs, les banques et les PSP doivent recourir à deux types de certificats électroniques :

  • Le certificat eIDAS QWAC, pour « Qualified Website Authentication Certificate ». Ces certificats permettent aux serveurs d’une banque et d’un prestataire de services de s’authentifier réciproquement, et de garder leurs échanges chiffrés.
  • Le certificat eIDAS Qseal, pour « Qualified electronic Seal Certificate ». Celui-ci aux serveurs des deux parties de verrouiller le contenu d’une transaction.

Ces deux certificats sont indispensables.

La certification eIDAS

Vous l’avez remarqué. Tous deux sont certifiés eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques). Ce label est un gage de qualité et de confiance en matière de signature électronique, et donc de confidentialité. Les banques et PSP sont sûres d’avec qui elles communiquent, ainsi que du haut niveau de protection de leurs données.

Ils sont délivrés par des autorités de certification, ou QTSP (pour « Qualified Trust Services Providers »), reconnues par l’Europe. CertEurope (filiale du groupe Oodrive) est la première autorité en la matière en France, et Tiers de Confiance. CertEurope fait  partie de la top liste des prestataires qualifiés et autorisés à délivrer des certificats QWAC et QSEAL. On retrouve également son nom sur la liste des QTSP de l’Open Banking Europe. Une double preuve de confiance.

 

La DSP 2, une révolution qui profite à tous

Avec les nouvelles exigences de la DSP 2, les habitudes et les besoins de tout le monde sont positivement impactés :

  • Les utilisateurs y trouvent une garantie supplémentaire de sécurité, et leurs opérations et paiements sont facilités.
  • Les banques et les PSP, en respectant les règles de la DSP 2, regagnent ainsi la confiance des clients. Ils affirment leur capacité à protéger leurs données financières et à gérer les paiements en ligne.
  • Certains acteurs (surtout les « Fintechs ») sont lancés dans une course à l’innovation et à la simplification, qui ne peut qu’apporter de nouvelles solutions pour encore plus faciliter les paiements et les opérations de tous.

Encadrés par la nouvelle réglementation de la DSP 2, les paiements numériques en UE et dans l’EEE coûtent moins cher, sont plus faciles d’accès et d’utilisation, et franchissent un cap supérieur en matière de sécurité des données.

Vous souhaitez avoir plus d’informations sur DSP2, contactez-nous

 

Hélène Toutchkov

Hélène Toutchkov
Content Manager