La Directive europ\u00e9enne sur les Services de Paiement (DSP2) qui r\u00e9forme la premi\u00e8re directive adopt\u00e9e en 2009 et d\u00e9finissant un cadre juridique pour la mise en place d’un march\u00e9 europ\u00e9en unique des paiements, est entr\u00e9e en vigueur le 13 janvier 2018. La DSP2 a pour objectif de cr\u00e9er un march\u00e9 europ\u00e9en int\u00e9gr\u00e9 des paiements par carte, Internet et sur mobile et de favoriser l’\u00e9mergence de nouveaux acteurs. Les banques et Prestataires de Service de Paiement (PSP) disposeront de 18 mois pour mettre en place les mesures \u00e9dict\u00e9es par les normes techniques de r\u00e9glementation publi\u00e9es par la Commission europ\u00e9enne le 27 novembre 2017. Le nouveau dispositif europ\u00e9en a un double objectif:<\/p>\n
Il revient \u00e0 la banque de l\u2019acheteur (banque \u00e9mettrice) d\u2019estimer le niveau de risque d’une transaction et ainsi d\u00e9cider du niveau d’authentification requis. Les e-commer\u00e7ants et les plateformes de paiement devront donc communiquer aux banques \u00e9mettrices un maximum d’informations pour faciliter la qualification du niveau de risque du paiement.<\/p>\n
Le paiement en ligne via le dispositif 3D Secure est un exemple de syst\u00e8me d\u2019authentification forte qui consiste \u00e0 identifier le titulaire de la carte via un code re\u00e7u par SMS. Actuellement, lors d\u2019une transaction via 3D Secure, la banque \u00e9mettrice d\u00e9clenche une authentification de mani\u00e8re quasi syst\u00e9matique car elle re\u00e7oit un nombre limit\u00e9 d’informations (montant de la transaction, nom du commer\u00e7ant, num\u00e9ro de carte). 3D Secure 2.0 permettra de mettre en place un nouveau syst\u00e8me d\u2019analyse permettant un paiement s\u00e9curis\u00e9, mais sans envoi syst\u00e9matique d\u2019un code par SMS. La banque \u00e9mettrice recevra \u00e9galement des donn\u00e9es telles que l\u2019adresse IP de l\u2019acheteur, le type d\u2019appareil utilis\u00e9 pour r\u00e9aliser le paiement, le type de navigateur, etc. L\u2019analyse de tous ces \u00e9l\u00e9ments permettra de d\u00e9terminer s’il est n\u00e9cessaire de d\u00e9clencher une authentification forte. Ceci fluidifiera davantage le processus d\u2019achat sans augmenter le risque de fraude.<\/p>\n
Si l’authentification forte r\u00e9duit le risque de fraude, elle pr\u00e9sente l\u2019inconv\u00e9nient de rallonger le processus d’achat et de faire baisser le taux de conversion. C\u2019est la raison pour laquelle des exceptions sont pr\u00e9vues\u00a0:<\/p>\n
Les titulaires de compte peuvent exercer un contr\u00f4le sur la transmission de leurs donn\u00e9es \u00e0 caract\u00e8re personnel tant au titre de la DSP2 qu’au titre du RGPD. L’acc\u00e8s et le traitement par les PSP ne sont autoris\u00e9s que pour les donn\u00e9es \u00e0 caract\u00e8re personnel qui sont n\u00e9cessaires \u00e0 l’ex\u00e9cution de leurs services et pour lesquelles le consommateur a donn\u00e9 son accord. Les PSP doivent donc informer leurs clients de la mani\u00e8re dont leurs donn\u00e9es seront trait\u00e9es.<\/p>\n