Votre panier est actuellement vide !
Depuis le 30 décembre 2020, la 2ème directive 2015/2366 du 25 novembre 2015 (DSP2) exige l’authentification forte du client (SCA) pour de nombreux paiements en ligne au sein de l’Espace économique européen (EEE). La SCA fait partie de la seconde Directive sur les services de paiement (DSP2).
Les paiements traditionnels par carte se font généralement en deux étapes : l’autorisation et le débit. Un paiement est autorisé lorsque la banque ou l’émetteur de la carte d’un client décide de l’approuver, et il est effectif au moment où la carte est débitée. Pour répondre aux exigences de la SCA, une nouvelle forme d’authentification à deux facteurs est requise pour nombre de paiements en ligne par carte en Europe (biométrie …).
Dans un premier temps, il est prévu de remplacer de manière progressive, le recours aux codes SMS à usage unique par des solutions plus sûres comme la saisie d’un code confidentiel ou d’une empreinte biométrique à travers l’application mobile de banque en ligne. L’Autorité bancaire européenne a fixé au 31 décembre 2020 la date butoir pour disposer de la mise en conformité des solutions d’authentification pour les paiements en ligne. Dans un deuxième temps, d’ici mars 2021, une mise à jour de l’infrastructure 3d secure est prévue.
La DSP2 actualise le cadre règlementaire des paiements en Europe en renforçant le niveau de sécurité des paiements et la protection des clients. Elle intègre et abroge la première directive 2007/64 du 13 novembre 2007 sur les services de paiement (DSP1).
La directive a été transposée en droit français, de manière échelonnée, par la loi n°2016-1321 du 7 octobre 2016 pour une république numérique et par l’ordonnance n°2017-1252 du 9 août 2017. Elle est entrée en vigueur le 13 janvier 2018, mais un délai de 18 mois – jusqu’au 14 septembre 2019 – a été accordé aux établissements de crédit pour mettre au point des interfaces de programmation (API – application programming interface). Cette date a été reportée au 31 décembre 2020.
Conformément à cette dernière exigence réglementaire, Les banques vont donc progressivement renforcer la sécurité de l’accès à leur banque en ligne en déployant l’authentification forte pour la consultation des comptes et réalisation de virements. La sécurité des paiements par carte bancaire réalisés sur internet sera également renforcée.
La directive DSP2 a comblé les lacunes et a instauré de nouvelles règles intéressant les consommateurs, notamment : i) un abaissement de la franchise de 150 euros à 50 euros restant à la charge du client en cas de paiement frauduleux par carte avant opposition pour perte ou vol de la carte ; ii) l’obligation d’une authentification forte pour les paiements en ligne de plus de 30 euros ; iii) la reconnaissance de nouveaux services de paiement et de deux nouveaux acteurs en charge de les assurer : les prestataires de services d’information sur les comptes, et les prestataires de services d’initiation de paiement ; iv) l’ouverture du marché à de nouveaux acteurs en donnant accès aux informations sur les comptes par un canal de communication sécurisé ; v) la légalisation du cash back c’est-à-dire la possibilité de retirer des espèces chez un commerçant au moment d’un paiement par carte bancaire.
Depuis janvier 2018, pour les opérations frauduleuses effectuées par carte bancaire avant opposition, à la suite du vol ou de la perte de la carte, une franchise de 50 euros reste à la charge du client si le code confidentiel a été utilisé. Cette franchise était auparavant de 150 €.
Cette franchise ne s’applique pas : i) s’il n’y a pas eu utilisation du code confidentiel, si la perte, ii) le vol ou l’utilisation frauduleuse de la carte ne pouvait pas être détecté avant le débit frauduleux.
Des délais plus courts de remboursement et un droit au remboursement inconditionnel pour les prélèvements en euros sont prévus. La banque doit rembourser au plus tard un jour ouvré après la notification de l’utilisation frauduleuse, sauf si elle suppose une fraude de la part de l’utilisateur.
Il est constaté une croissance du nombre de risques : le nombre de cyberattaques a augmenté de 32 % en 2018 (source F-Secure mars 2019). La sécurité est une préoccupation majeure et essentielle au fonctionnement des activités économiques et du commerce électronique.
Aussi, de nouvelles solutions concernant le renforcement de la sécurité des moyens de paiement en ligne sont prévues, et ont pour objet de généraliser une authentification forte du client pour les paiements électroniques de plus de 30 euros afin de limiter les risques de fraude.
L’authentification forte repose sur deux éléments ou plus d’authentification parmi les 3 suivants : i) connaissance (quelque chose que seul l’utilisateur connait) : mot de passe, information personnelle, ii) possession (quelque chose que seul l’utilisateur possède) : un ordinateur, un téléphone, inhérence (quelque chose que l’utilisateur est) : reconnaissance faciale, rétinienne ou vocale (empreinte digitale).
L’authentification forte est requise pour : i) l’accès au compte de paiement en ligne, ii) une opération de paiement électronique (virement, paiement par carte), iii) une action exécutée par un mode de communication à distance qui présente un risque de fraude.
Des dérogations à l’authentification forte sont limitativement prévues par la directive car considérés comme peu risquées, notamment le paiement aux automates de transport et de parking, le paiement de faible montant sans contact ou à distance.
La directive DSP2 amplifie la démonopolisation du système bancaire, amorcée avec la DSP1, et autorise l’apparition de deux nouveaux acteurs (article L. 314-1, II, 7° et 8° du code monétaire et financier) : les prestataires de services d’information sur les comptes (PSIC), et les prestataires de services d’initiation de paiement (PSIP) regroupés sous le terme TPP (“Third party providers”).
Les premiers (PSIC) sont des agrégateurs rassemblant les informations bancaires des utilisateurs ayant plusieurs comptes de paiement sur une même plateforme et ayant pour mission de collecter des données et de les consolider : cela permet à l’utilisateur d’avoir une vue globale et actualisée de ses comptes, et d’améliorer la gestion de ses finances (article D.314-2-7° du code monétaire et financier).
Ils devront adresser une procédure d’enregistrement à l’Autorité de contrôle prudentiel.
Les seconds (PSIP) sont des initiateurs de paiement procédant à des opérations de paiement à la demande de l’utilisateur concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement et en faveur d’un bénéficiaire, tel qu’un paiement par virement sur internet. Il s’agit d’un paiement direct de compte à compte permettant de faire des achats en ligne sans passer par l’intermédiaire de la carte de paiement (article D. 314-2 du code monétaire et financier).
Ils devront obtenir un agrément préalable.
Les contrôles sont opérés par le pays où les nouveaux acteurs ont leur siège statutaire. En France, c’est l’Autorité de contrôle prudentiel et de résolution (ACPR) qui est en charge de contrôler ces nouveaux acteurs. Ces nouveaux services de paiement se greffent à un contrat déjà existant entre le client et son banquier.
L’utilisateur doit donner son consentement au libre accès à son compte à des prestataires autres que le banquier. Le consentement devra être explicite à l’égard du PSIP (article L. 133-40-I du code monétaire et financier) et exprès à l’égard du PSIC (article L. 133-41-II-1° du code monétaire et financier). Le consentement sera donné via les conventions de compte.
Le prestataire de services de paiement gestionnaire du compte (le banquier) peut refuser à un prestataire de services de paiement fournissant un service d’information sur les comptes ou d’initiation de paiement l’accès à un compte de paiement pour des raisons objectivement motivées ou documentées liées à un accès non autorisé ou frauduleux au compte de paiement de la part de ce prestataire.
Le banquier ne pourra imposer un prestataire avec lequel il aurait établi un partenariat : l’utilisateur peut s’adresser au prestataire de services de paiement de son choix. L’article L. 112-13 du code monétaire et financier indique que lorsque le prestataire de services de paiement applique des frais pour l’utilisation d’un instrument de paiement donné, il en informe l’utilisateur de services de paiement avant l’initiation de l’opération de paiement.
La Banque de France s’assurera de la sécurité de l’accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services des paiements (article L. 521-8 du code monétaire et financier). La CNIL et l’ACPR participeront aussi à la sécurité.
La DSP 2 oblige les prestataires de service de paiement gestionnaires de compte (les banques) à fournir l’accès aux données de leurs clients (avec leur accord) à des acteurs tiers tels que les initiateurs de services de paiement (appelées PSIP) ou les prestataires de services d’information sur les comptes (les agrégateurs). Les clients devront consentir à l’accès, à l’utilisation et au traitement de ces données.
Auparavant, les clients devaient transmettre leurs codes d’accès et leurs identifiants à ces TPP : il y avait donc un risque dans la circulation des données bancaires et identifiants.
Les données du compte bancaire doivent être protégées et leur utilisation est encadrée : elles ne doivent pas être utilisées, consultées ou stockées à des fins autres que la fourniture du service d’initiation de paiement ou la fourniture du service d’information sur les comptes expressément demandés par l’utilisateur de service de paiement.
Les données transmises doivent l’être via des canaux sécurisés (API) et ne doivent concerner que les données nécessaires pour fournir le service d’initiation de paiement (article L. 133-40, II, 6° du code monétaire et financier). Le PSIC n’accède qu’aux informations provenant des comptes de paiement désignés par l’utilisateur et des opérations de paiement associées (article L. 133-40, II, 4° du code monétaire et financier). Ces API doivent permettre aux entreprises fournissant certains services de paiement (fintechs) d’accéder aux données des clients des établissements de crédit de manière contrôlée et sécurisée.
Les données des comptes de paiement des clients seront accessibles gratuitement dans le cadre du service d’information sur les comptes (service d’agrégation de données), et du service d’initiation de paiement (transmission de paiement).
Il s’agit de la possibilité de retirer des espèces chez un commerçant au moment d’un paiement par carte bancaire. Les articles L. 112- 14 et D. 112-6 du code monétaire et financier prévoient que le montant minimum du cash back est fixé à 1 € et le montant maximum est de 60 €. Un affichage obligatoire est prévu au niveau du lieu d’encaissement pour informer le consommateur de cette possibilité et du caractère gratuit ou non de l’opération. Si cela est payant, il doit indiquer les frais et commissions perçus.
Le non-respect de ces prescriptions peut avoir pour effet une contravention de la 5e classe (1 500 €).