Actualités juridiques et digitales

Authentification forte & DSP2 : que doivent faire les e-commerçants ?

Rédigé par Paul Benelli | Sep 24, 2019 6:36:39 AM

Par Paul Benelli et Julie Soussan

La directive européenne (UE) 2015/2366 concernant les services de paiement dans le marché intérieur dite DSP2, a été adoptée par les Etats membres de l’Union Européenne le 25 novembre 2015, et a pour objectif principal de renforcer la sécurité des paiements en ligne.

La DSP2 est en vigueur dans toute l’Union européenne depuis le 13 janvier 2018, sauf en ce qui concerne les mesures de sécurité relatives à l’authentification forte du client, décrites au sein des normes techniques élaborées par l’Autorité Bancaire Européenne (ABE).

Les nouvelles règles relatives à l’authentification forte, qui devaient initialement être appliquées au plus tard le 14 Septembre 2018, doivent finalement être mises en œuvre au plus tard en Mars 2021[1], au terme d’un plan de migration accordant 18 mois supplémentaires.

1. Qu’est-ce que l’authentification forte ?

L’objectif de la mise en œuvre de l’authentification forte consiste principalement à réduire la fraude dans les paiements en ligne.

L’authentification forte, au sens de la DSP2, est définie comme une authentification reposant sur l’utilisation d’au moins deux éléments appartenant aux catégories suivantes :

  • Connaissance: quelque chose que seul l’utilisateur connaît (mot de passe, question secrète, code secret, code PIN, numéro d’authentification etc.) ;
  • Possession: quelque chose que seul l’utilisateur possède (téléphone mobile, appareil connecté, carte à puce, jeton d’authentification, etc.) ;
  • Inhérence: quelque chose qui compose ou définit l’utilisateur (empreinte digitale, reconnaissance faciale, reconnaissance vocale etc.).

Ainsi, dès Décembre 2020, le SMS de vérification ne sera plus suffisant pour assurer la sécurité des paiements en ligne, seul le critère de possession étant vérifié (la possession du téléphone par l’utilisateur).

Par ailleurs, les prestataires de services de paiement doivent s’assurer de l’indépendance de ces éléments « afin que la compromission de l’un ne remette pas en question la fiabilité des autres »[2].

2. Dans quel cas mettre en œuvre l’authentification forte ? 

Si la mise en œuvre du 3D sécure dépendait de la volonté du e-commerçant, la DSP2 impose la mise en place de l’authentification forte lorsque le payeur :

  • Accède à son compte de paiement en ligne ;
  • Initie une opération de paiement électronique ;
  • Exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse[3].

3. Les exceptions relatives à la mise en œuvre de l’authentification forte prévues par la DSP2

Si la DSP2 rend obligatoire la mise en œuvre de l’authentification forte pour toutes les transactions en ligne, il existe tout de même certaines dérogations.

Ainsi, la mise en œuvre de l’authentification forte n’est pas obligatoire dans les cas suivants :

  • Pour les paiements d’un montant inférieur à 30 euros ;
  • Lorsque le montant cumulé des précédentes opérations initiées par le payeur depuis la dernière authentification forte ne dépasse pas 100 € ou cinq opérations de paiement ;
  • Pour les paiements vers un bénéficiaire inscrit sur une liste de « bénéficiaire de confiance » préalablement créée par le payeur ;
  • Pour les opérations à faible risque, le niveau de risque d’un paiement étant évalué en fonction du taux moyen de fraudes chez l’émetteur de la carte et chez l’acquéreur qui traite la transaction ;
  • Pour les abonnements ou opérations récurrentes (sauf dans le cas où le payeur crée, modifie ou initie pour la première fois une série d’opérations récurrentes ayant le même montant et le même bénéficiaire ;
  • Les paiements effectués par carte professionnelle.

Ainsi, en tant qu’e-commerçant, vous devrez d’une part vous assurer que votre solution de paiement mettra en œuvre ces nouvelles obligations, et d’autre part, adapter votre module de paiement, et ce d’ici à Mars 2021 !

4. Focus sur les délais accordés aux acteurs bancaires dans la mise en œuvre de la DSP2

En conformité avec la position de l’Autorité bancaire européenne (ABE) exprimée dans une lettre publique du 21 juin 2019, l’Observatoire de la Sécurité des Moyens de Paiement (OSMP) a élaboré un plan de migration national en deux étapes devant finalement permettre une application uniforme de la DSP2 :

  • Ainsi un premier volet devant être mis en œuvre en Décembre 2020 a trait au remplacement progressif du recours aux codes SMS à usage unique pour la protection des paiements en ligne au profit de solutions plus avancées, reposant par exemple sur la saisie d’un code confidentiel ou d’une empreinte biométrique via une application mobile fournie par la banque.
  • Un second volet à l’attention des acteurs professionnels du paiement, (incluant les e-commerçants), qui devra être effectif au plus tard en Mars 2021, exige la mise à niveau de l’infrastructure technique « 3D-Secure » utilisée pour la gestion de l’authentification du client lors d’un paiement par carte en ligne.

Pour être accompagné dans vos démarches ou pour tout renseignement complémentaire, n’hésitez pas à contacter le cabinet HAAS Avocats ici.

 

[1] https://www.banque-france.fr/sites/default/files/medias/documents/2019-09-11_osmp_-_cp_migration_dsp2.pdf

[2] Article 9 des Normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication

[3] Article 97 de la DSP2