La Directive européenne sur les Services de Paiement (DSP2) qui réforme la première directive adoptée en 2009 et définissant un cadre juridique pour la mise en place d’un marché européen unique des paiements, est entrée en vigueur le 13 janvier 2018. La DSP2 a pour objectif de créer un marché européen intégré des paiements par carte, Internet et sur mobile et de favoriser l’émergence de nouveaux acteurs. Les banques et Prestataires de Service de Paiement (PSP) disposeront de 18 mois pour mettre en place les mesures édictées par les normes techniques de réglementation publiées par la Commission européenne le 27 novembre 2017. Le nouveau dispositif européen a un double objectif:
- Innovation: les PSP qui auront un accès direct et sécurisé aux données bancaires pourront créer de nouveaux services via des APIs (interfaces de programmation qui permettent à des applications de communiquer entre elles) que doivent mettre en place les banques d’ici septembre 2019 (Open Banking). Ces fintechs doivent obtenir un agrément d’établissement de paiement auprès de leur régulateur local et seront soumis à des reporting et procédures particulières. S’agissant de la protection des données des consommateurs, l’alliance Fido (Fast identity online) travaille sur des méthodes d’authentification en ligne interopérables et plus sécurisées. Parmi ses membres, on retrouve Google, Microsoft, Intel, Gemalto et Idemia (Oberthur Technologies) ;
- Sécurité : le système d’authentification forte va imposer aux acteurs d’avoir recours à deux systèmes de vérification pour confirmer l’identité des clients en fonction du niveau de risque. Une authentification forte requiert l’utilisation d’au moins deux éléments indépendants:
– Possession (ce que j’ai) : téléphone, etc.
– Connaissance (ce que je sais) : mot de passe, code PIN, etc.
– Inhérence (ce que je suis) : empreinte digitale, reconnaissance vocale, reconnaissance faciale, etc.
Il revient à la banque de l’acheteur (banque émettrice) d’estimer le niveau de risque d’une transaction et ainsi décider du niveau d’authentification requis. Les e-commerçants et les plateformes de paiement devront donc communiquer aux banques émettrices un maximum d’informations pour faciliter la qualification du niveau de risque du paiement.
Le paiement en ligne via le dispositif 3D Secure est un exemple de système d’authentification forte qui consiste à identifier le titulaire de la carte via un code reçu par SMS. Actuellement, lors d’une transaction via 3D Secure, la banque émettrice déclenche une authentification de manière quasi systématique car elle reçoit un nombre limité d’informations (montant de la transaction, nom du commerçant, numéro de carte). 3D Secure 2.0 permettra de mettre en place un nouveau système d’analyse permettant un paiement sécurisé, mais sans envoi systématique d’un code par SMS. La banque émettrice recevra également des données telles que l’adresse IP de l’acheteur, le type d’appareil utilisé pour réaliser le paiement, le type de navigateur, etc. L’analyse de tous ces éléments permettra de déterminer s’il est nécessaire de déclencher une authentification forte. Ceci fluidifiera davantage le processus d’achat sans augmenter le risque de fraude.
Si l’authentification forte réduit le risque de fraude, elle présente l’inconvénient de rallonger le processus d’achat et de faire baisser le taux de conversion. C’est la raison pour laquelle des exceptions sont prévues :
- Pour les achats de 0 à 30€ sauf pour 6 transactions d’affilés ou pour un montant cumulé supérieur à 100€ où une authentification forte reste obligatoire ;
- Pour les achats quel que soit le montant si l’acheteur a inscrit le e-commerçant sur une liste de bénéficiaires de confiance (liste blanche) ;
- Pour les paiements récurrents à savoir les abonnements et paiements fractionnés, mais uniquement pour des montants identiques ;
- Sur la base d’une analyse des risques de toutes les transactions traitées par la banque émettrice en fonction du taux de fraude.
Les titulaires de compte peuvent exercer un contrôle sur la transmission de leurs données à caractère personnel tant au titre de la DSP2 qu’au titre du RGPD. L’accès et le traitement par les PSP ne sont autorisés que pour les données à caractère personnel qui sont nécessaires à l’exécution de leurs services et pour lesquelles le consommateur a donné son accord. Les PSP doivent donc informer leurs clients de la manière dont leurs données seront traitées.