Esci
Nouvelle réglementation DSP2 : qui est concerné
La réglementation DSP 2 est la Directive européenne sur les Services de Paiement, version 2. Aujourd’hui, l’authentification numérique est une étape nécessaire à la validation des paiements électroniques. Elle consiste à vérifier qu’une identité numérique correspond bien à l’identité de la personne physique ou morale attendue (en l’occurrence, consommateur, banque ou prestataire de paiement tiers). Plus l’authentification est dite « forte », et plus la sécurité est grande. Or pour garantir cette sécurité, l’authentification doit répondre aux critères d’exigence de la réglementation DSP2. Quels changements entraîne cette nouvelle réglementation pour chaque acteur dans ce domaine ?
Qu’implique la réglementation DSP2 en matière de sécurité ?
Qu’implique la DSP 2 en matière de sécurité ?
La réglementation DSP2 va plus loin en matière de sécurité que la réglementation en vigueur jusqu’à présent.
Pour les utilisateurs
Du côté des utilisateurs, cette nouvelle réglementation va :
- Réduire le nombre de fraudes sur les paiements d’une façon significative ;
- Protéger plus efficacement leurs données financières ;
- Rendre encore plus simple et rapide l’utilisation et le déroulement de leurs transactions numériques.
Du côté des professionnels
Bien entendu, rien ne changerait sans la participation de professionnels. Il faut bien trouver des solutions adaptées aux besoins des utilisateurs. D’autant que des prestataires de services de paiement (PSP) ont le droit d’accéder aux comptes bancaires, de rassembler les données ou encore d’autoriser des paiements. La nouvelle réglementation a donc pour but de faciliter les échanges d’informations. Mais elle veut aussi encourager l’émergence de nouveaux prestataires de services tiers, ainsi que les innovations en matière de paiements mobiles ou en ligne.
L’intérêt d’une authentification numérique sûre
L’intérêt d’une authentification numérique sûre
Pour encadrer l’authentification en ligne, la Commission européenne a mis en place en 2009 une première réglementation, la DSP 1. Cette directive s’applique à tous les services de paiement en ligne, ainsi qu’aux prestataires de services, dans toute l’Union européenne (UE) ainsi que l’Espace économique européen (EEE).
La DSP 1 se traduit par un système de vérification que vous connaissez bien maintenant. Après un achat, le site marchand vous redirige sur une page web. Là, vous devez entrer une série de chiffres, transmise par la banque sur votre téléphone sous forme de texto.
Mais en à peine dix ans, les paiements et autres opérations bancaires en ligne se sont grandement répandus, et les acteurs se sont multipliés. Aujourd’hui, les besoins en matière de sécurité sont devenus bien plus grands que lorsque la DSP 1 est entrée en vigueur. D’où les nouvelles précautions mises en place par la DSP2.
L’évolution prévue par la nouvelle réglementation DSP2
L’évolution prévue par la nouvelle réglementation
Cette « version 2 » de la Directive européenne sur les Services de Paiement se fixe trois objectifs principaux :
- Renforcer les droits des consommateurs, par exemple en réduisant les délais de remboursements suite à une contestation, ou en interdisant les surfacturations (c’est-à-dire quand vous payez un supplément lors d’un paiement par carte à l’étranger).
- Rendre l’authentification toujours plus forte, pour des consultations de comptes et des paiements toujours plus sûrs.
- Avec l’émergence de nouveaux services de paiement et de nouveaux fournisseurs, notamment des fintechs (c’est-à-dire des sociétés de technologie financières), l’enjeu consiste enfin à mieux protéger les partages d’informations entre les banques et les opérateurs tiers, comme la validation des opérations de paiement et autres.
Avec la DSP 2, les normes de sécurité à appliquer sont plus strictes pour les banques et les PSP. Mais les mouvements d’argent numérique à travers l’Union européenne et l’EEE sont plus sûrs, plus rapides, et plus simples pour tout le monde.
L’atout d’une authentification forte pour les utilisateurs
L’atout d’une authentification forte pour les utilisateurs
La DSP 2 a été adoptée le 25 novembre 2015, pour entrer en vigueur le 13 janvier 2018. Mais un gros changement reste encore à venir à la fin de l’année. Jusqu’à présent, l’authentification forte était seulement une recommandation pour les transactions numériques en Europe. À compter de septembre 2019, elle devient une obligation. Ce renforcement des mesures d’authentification a un double objectif.
Renforcer la sécurité
Elle doit assurer plus de sécurité aux transactions menées par les banques et les PSP. Le client peut ainsi accéder à son compte bancaire ou effectuer des règlements en ligne sans s’inquiéter. Il lui suffit de prouver son identité. Pour cela, la nouvelle directive européenne oblige les banques à recourir à une authentification multi-facteurs, c’est-à-dire la reconnaissance d’au moins deux des trois conditions suivantes :
- Un mot de passe ou un code personnel connu de l’utilisateur seul ;
- L’appareil utilisé (smartphone, pc portable, tablette, etc.) ;
- Une caractéristique de l’utilisateur (via l’usage de la reconnaissance vocale ou faciale, ou encore de son empreinte digitale).
Permettre toujours plus de services
L’enjeu est aussi de multiplier les services et les possibilités. Par exemple, la réglementation de la DSP 2prend dorénavant en compte deux nouveaux types de services de paiement :
- Les services d’initiation de paiement, qui proposent donc d’initier les paiements pour le compte des clients ;
- Et les services d’information sur les comptes, qui offrent d’avoir sur une seule interface une vue d’ensemble de vos comptes et opérations. Du point de vue des prestataires et des banques, cette prise en compte doit encourager le développement de nouveaux systèmes de paiement, et stimuler la croissance économique.
Grâce à toutes ces nouvelles précautions, la réglementation DSP2 ouvre ainsi la voie à un écosystème open banking toujours plus efficace et transparent en Europe.
Le recours aux certificats électroniques pour les banques et les prestataires
Le recours aux certificats électroniques pour les banques et les prestataires
Selon la réglementation DSP2, les échanges doivent maintenant être sécurisés à l’aide de certificats électroniques d’authentification.
Les certificats imposés par la DSP2
Pour garantir l’authentification entre les serveurs des différents acteurs, les banques et les PSP doivent recourir à deux types de certificats électroniques :
- Le certificat eIDAS QWAC, pour « Qualified Website Authentication Certificate ». Ces certificats permettent aux serveurs d’une banque et d’un prestataire de services de s’authentifier réciproquement, et de garder leurs échanges chiffrés.
- Le certificat eIDAS Qseal, pour « Qualified electronic Seal Certificate ». Celui-ci aux serveurs des deux parties de verrouiller le contenu d’une transaction.
Ces deux certificats sont indispensables.
La certification eIDAS
Vous l’avez remarqué. Tous deux sont certifiés eIDAS (Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques). Ce label est un gage de qualité et de confiance en matière de signature électronique, et donc de confidentialité. Les banques et PSP sont sûres d’avec qui elles communiquent, ainsi que du haut niveau de protection de leurs données.
Ils sont délivrés par des autorités de certification, ou QTSP (pour « Qualified Trust Services Providers »), reconnues par l’Europe. CertEurope – An InfoCert Company est la première autorité en la matière en France, et Tiers de Confiance. CertEurope – An InfoCert Company fait partie de la top liste des prestataires qualifiés et autorisés à délivrer des certificats QWAC et QSEAL. On retrouve également son nom sur la liste des QTSP de l’Open Banking Europe. Une double preuve de confiance.
La réglementation DSP2, une révolution qui profite à tous
La DSP 2, une révolution qui profite à tous
Avec les nouvelles exigences de la réglementation DSP2, les habitudes et les besoins de tout le monde sont positivement impactés :
- Les utilisateurs y trouvent une garantie supplémentaire de sécurité, et leurs opérations et paiements sont facilités.
- Les banques et les PSP, en respectant les règles de la DSP2, regagnent ainsi la confiance des clients. Ils affirment leur capacité à protéger leurs données financières et à gérer les paiements en ligne.
- Certains acteurs (surtout les « Fintechs ») sont lancés dans une course à l’innovation et à la simplification, qui ne peut qu’apporter de nouvelles solutions pour encore plus faciliter les paiements et les opérations de tous.
Encadrés par la nouvelle réglementation de la DSP2, les paiements numériques en UE et dans l’EEE coûtent moins cher, sont plus faciles d’accès et d’utilisation, et franchissent un cap supérieur en matière de sécurité des données.
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise
Certificat DSP2
Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise
Certificat DSP2
Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées
13 thoughts on “Nouvelle réglementation DSP2 : qui est concerné ?”
Bonjour,
Je vous écris à propos des achats en ligne par carte bancaire, dans l’optique de trouver un.e intervenant.e qui puisse m’éclairer :
Quels sont les moyens de protection sur internet ? Aujourd’hui, la majorité des achats se fait grâce à une double authentification : 2nd code via SMS, boitier électronique, application, empreinte biométrique ou, plus récemment, code personnel pour se connecter à son compte en ligne. J’aimerais discuter de tous ces moyens de s’identifier, connaître leurs avantages et inconvénients. Et revenir en particulier sur le dernier évoqué, qui me semble le plus récent.
J’espère être au bon endroit pour ces questions, sinon, n’hésitez pas à m’indiquer vers qui me tourner.
Bien à vous,
Anaïs Poncet
Bonjour madame Poncet,
Cette question est en dehors du scope de notre offre DSP2. Nous fournissons des certificats qualifiés (cachet et SSL) pour les prestataires de paiements dans le cadre de la réglementation mais nous ne gérons pas les facteurs d’authentification à leurs plateformes.
Il faut que vous vous adressiez aux prestataires de paiement.
Cordialement,
Équipe de CertEurope
Comment faire pour me connecter à mon compte ou il reconnaît pas mon identifiant ayant inscrit la DSP2 une protection mes avec sa je ne peux plus ouvrir mon compte Comment faire ?
Bonjour madame Lallemant,
Pourriez-vous préciser un peu votre demande : Il s’agit de quel compte ? Sur quelle application ?
Cordialement,
Équipe de CertEurope
N ayant pas pu payer mon stationnement à Bordeaux j ai pris plusieurs PV étant donné que je n ai pas pu réglé cette prestation
Pouvez vous m’envoyer un justificatif comme quoi depuis peu il faut un compte en ligne pour pouvoir payer des achats en ligne
Merci
Bonjour,
Nous sommes désolés, mais vous devez vous tromper d’interlocuteur. Votre demande ne concerne pas l’activité de CertEurope.
Bien cordialement,
Les équipes CertEurope
Bonjour
Je comprends vu l’article que tous les sites marchands doivent utilisé le dsp2
Si l’on fait un paiement en ligne qui n’utilise pas du tout de dsp2 ( pas de double authentification du tout) , faut -il s’inquiéter ? Est ce qu’il y a un risque accru de piratage de nos données?
Cordialement
Christophe
Bonjour,
L’absence d’une double authentification lors du paiement en ligne est un signe de non-conformité du marchand avec la directive DSP2, et dans ce cas nous vous déconseillons de réaliser des paiements sur ce site marchand.
Nous vous invitons aussi à vous assurer que vous êtes sur une page cryptée au moment de rentrer vos informations bancaires (regardez la barre d’adresse : au début de l’adresse web, vous devriez voir les lettres « https »).
Cordialement,
Les équipes CertEurope
bonjour
je vous fais part de mon étonnement concernant un achat passé hier (4/2/23) après demande code conformément dsp2et 3Dsecur )je constate la non efficacité de ce processus .pour la raison que dans un premier temps je me suis trompé de code (le premier demandé) puis aussi du 2e reçu par sms ,et poutant l achat a été validé de plus j ai mis un certain temps pour repondre au code sms (portable eteint) et donc hors delais de réponse.donc logiquement la chat aurait du être reformulé …mais pas le cas ? puisque reçu facture commande .
Bonjour
Le 25 novembre 2023
M. ANTENOR Casimir: cantenor@wanadoo.fr
Je suis un particulier, retraité.
Depuis le 17 octobre 2023, je ne peux plus accéder à mon compte bancaire à la BNPPARIBAS de Jarry Baie-Mahault en Guadeloupe. En dépit de mes démarches auprès de ma banque, aucune solution n’est trouvée.
J’ai un nouveau rendez-vous ce lundi 27 novembre 2023 pour rappeler mes problèmes d’accès en ligne de mon dossier, donc de mon compte bancaire.
Car, la BNP impose de nouvelles dispositions pour accéder à son compte bancaire : Il faut 1° indiquer un identifiant de neuf chiffres. 2° indiquer les six chiffres d’un mot de passe provisoire reçu dans un module. Une fois le module correctement complété, on est dirigé sur une page « d’autentification forte OTP ». Sur cette page, dans la case indiquée, il faut inscrire un code secret reçu sur par SMS sur votre portable.
Cependant, ce code secret qui serait envoyé, n’arrive jamais. Conséquence impossible d’aller sur son compte bancaire.
En vue d’une solution, j’ai changé de portable, j’ai indiqué un nouveau numéro de portable, mais toujours pas de réception d’un hypothétique SMS.
Je rappelle que je suis un particulier. Or, pour s’inscrire à « Octopush » dont dépendrait OTP, une adresse e-mail professionnelle est exigée.
Bonjour,
Nous sommes désolés, nous ne pouvons couvrir votre besoin.
Si vous ne recevez pas le code OTP envoyé par votre banque, il faut vérifier avec votre conseiller bancaire le numéro de portable enregistré par votre banque. En particulier au niveau de l’indicatif (+590 en Guadeloupe, +33 en France métropolitaine).
Cordialement,
Les équipes CertEurope
Bonsoir
je suis dans une zone blanche et ne peux recevoir de SMS, je ne peux pas me connecter à ma banque ni faire une achat sur ecommence n, ma nbanque me dit de changer de domicile!! et que la réglementation DSP2 est obligatoire et s’impose , que faire?
Bonjour,
La DSP2 s’applique sans exception. Cela dit, la façon de s’y conformer est différente d’une banque à l’autre. Certaines banques proposent, pour certains usages, des modes d’authentification forte ne nécessitant pas de recevoir un code par SMS. Nous vous invitons à interroger votre banque (et d’autres) sur ce point en mentionnant votre situation particulière (zone « blanche »).
Cordialement,
Les équipes CertEurope