NOUVELLE RÉGLEMENTATION

05/09/2019 / Droit de l’informatique et des nouvelles technologies – Droit des contrats

Entrée en vigueur de l’authentification forte pour les paiements électroniques prévue par la directive dite PSD2 du 25 novembre 2015

La directive sur les services de paiement (UE) 2015/2366 révisée, appelée DSP2, du 25 novembre 2015, est entrée en vigueur le 13 janvier 2018. Toutefois, il a été prévu que certaines dispositions n’entreraient en vigueur que postérieurement. C’est notamment le cas de l’authentification forte pour les paiements électroniques.

A partir du 15 septembre 2019, les États membres devront « veiller à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur :

  • Accède à son compte de paiement en ligne ;
  • Initie une opération de paiement électronique ;
  • Exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. »

L’authentification forte est définie par DSP2 comme une « authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

Un mot de passe ou un code PIN, relèvent de ce que « sais ». Un code envoyé par SMS sur mon mobile au moment de la transaction, relèvent de ce que « j’ai ». Une empreinte digitale, la reconnaissance faciale relèvent de ce que je « suis ».

L’authentification forte consiste à sécuriser le paiement par la combinaison d’au moins deux éléments précités. Par exemple un mot de passe et un code unique reçu par SM, comme le fait le système 3D-Secure proposé par les banques.

Le choix des deux éléments est laissé au libre choix des commerçants et des banques, à condition qu’ils soient « indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

 

Toutefois, la directive DSP2 a prévu que l’authentification forte n’était pas obligatoire dans les cas suivants :

  • Les paiements initiés d’un montant inférieur à 30 €, augmenté à 50 € pour les paiements sans contact ;
  • Les paiements composés de moins de six transactions successives ou dont le montant cumulé ne dépasse pas 100 € pour un paiement classique ou 150 € pour un paiement sans contact ;
  • Les paiements vers un bénéficiaire inscrit sur une liste de « bénéficiaire de confiance » ;
  • Les transactions considérées comme étant à faible risque : les établissements bancaires peuvent déterminer leur « taux de fraude » à la suite d’une analyse des risques. Ce taux est obtenu en examinant toutes les transactions traitées par les établissements parties à la transaction. Un nombre moindre de transactions frauduleuses permettra à l’établissement bancaire d’obtenir un taux faible. Toutefois, le seuil fixé par la directive DSP2 autorisant le prestataire de service de paiement de ne pas utiliser l’authentification forte est volontairement très bas.
  • Les paiements initiés à partir d’un automate de paiement afin de régler des frais de transport (péage) ou de parking.

Concrètement, chaque commerçant (de vente à distance) devra contacter sa banque pour identifier les procédures qui peuvent convenir à sa situation afin de respecter les obligations en vigueur de DSP2. Le risque est réel puisqu’en cas de non-respect la banque coupera le flux de transaction.

Par ailleurs, l’absence d’authentification forte de l’acheteur a des conséquences en cas de transactions non autorisées par le payeur, celui-ci ne devant alors pas supporter de perte financière. Par principe, en cas de fraude au moyen de paiement, l’établissement bancaire du payeur est seul chargé de lui rembourser les sommes indûment débitées de son compte. Toutefois, en l’absence d’authentification forte utilisée par le commerçant, il résulte des dispositions de l’article 74 de la directive, transposées à l’article L133-19 du Code monétaire et financier, qu’il revient au commerçant ou à son prestataire de services de paiement de rembourser les sommes débitées à l’établissement bancaire.

La directive 2015/2366 du 25 novembre 2015, transposée par l’ordonnance n° 2017-1252 du 9 août 2017 et la loi n° 2018-700 du 3 août 2018 modifiant les dispositions du Code monétaire et financier.