La directive 2015/2366/UE du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite DSP2) vise à assurer une concurrence équitable entre tous les acteurs de paiement et intégrer les évolutions technologiques apparues sur le marché. Ce texte abroge la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur (DSP1).

La directive DSP2 a pour objectif d’adapter les dispositions existantes concernant les services de paiement électronique, notamment par internet, en généralisant des mécanismes de sécurité afin de lutter contre la fraude. Ainsi, les prestataires de services de paiement, tels que les établissements bancaires, devront mettre en place une procédure d’authentification forte de leurs clients sous peine de voir leur responsabilité engagée en cas de fraude. Cette disposition s’applique aux opérations de paiement tels que les virements et les prélèvements à distance ainsi que les paiements par carte bancaire en ligne.

Les exigences relatives à l’authentification forte du client ont fait l’objet de l’élaboration de normes techniques de réglementation (NTR) par l’Autorité bancaire européenne. Celles-ci ont été publiées au Journal Officiel de l’Union européenne le 13 mars 2018 et seront applicables le 14 septembre 2019.

Que prévoit la directive DSP2 au regard de l’authentification forte des payeurs ? Quels sont les impacts pour les prestataires de services de paiement ?

Mathias Avocats vous en dit plus.

Le renforcement du cadre juridique au niveau européen

Depuis le début des années 2000, la réglementation européenne relative aux services de paiement s’est renforcée afin de fixer un cadre législatif harmonisé dans l’Union européenne. Toutefois, le développement des services de paiement en ligne a rendu nécessaire l’adoption de nouvelles règles permettant de sécuriser juridiquement ce marché. Ainsi, la directive DSP2 modifie les textes suivants :

  • La directive 2002/65/CE concernant la commercialisation à distance de services financiers auprès des consommateurs ;
  • La directive 2009/110/CE concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements ;
  • Le règlement 1093/2010/UE instituant une Autorité européenne de surveillance (Autorité bancaire européenne) ;
  • La directive 2013/36/UE concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement

Par ailleurs, la directive DSP2 abroge la directive 2007/64/CE concernant les services de paiement dans le marché intérieur dite DSP1. Ainsi le Livre Vert de la Commission européenne du 11 janvier 2012 intitulé « Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile » avait notamment soulevé la nécessité d’harmoniser le cadre juridique relatif à l’utilisation de ces moyens de paiement dans le marché européen. La directive DSP2 a donc pour objectif d’élargir le champ législatif européen posé par la directive DSP1 à de nouveaux services de paiement innovants et de renforcer les exigences de sécurité pesant sur les acteurs du marché des paiements. Le prestataire de service de paiement du payeur en ligne devra notamment prévoir l’utilisation de l’authentification forte de ce dernier pour les achats initiés par voie électronique.

La directive DSP2 a été transposée en France par l’ordonnance n° 2017-1252 du 9 août 2017 et la loi n°2018-700 du 3 août 2018 modifiant les dispositions du Code monétaire et financier.

Qu’est-ce que l’authentification forte ?

L’authentification forte du payeur consiste à instituer deux niveaux d’identification du payeur lors d’une transaction en ligne. En effet, il convient de s’assurer que la personne utilisant le moyen de paiement est son titulaire effectif. L’authentification forte apporte un niveau de garantie élevé quant à la personne du payeur. Il s’agit notamment de réduire les risques d’usurpation d’identité ou de fraude.

Cette notion pose le principe selon lequel l’identité d’un internaute effectuant une transaction est vérifiée par l’utilisation de deux éléments ou plus appartenant aux catégories suivantes :

  • La catégorie « connaissance » : il est fait recours à un élément que seul l’utilisateur connaît, comme un mot de passe, un code PIN ou la réponse à une question secrète ;
  • La catégorie « possession » : il est fait recours à un élément que seul l’utilisateur possède, comme un téléphone mobile, une carte bleue ou un jeton d’authentification aussi appelé token ;
  • La catégorie « inhérence » : il est fait recours à quelque chose que l’utilisateur « est », comme une empreinte digitale ou rétinienne ou tout autre élément biométrique.

En pratique, à titre d’exemple, un achat en ligne peut être réalisé au moyen d’un numéro de carte bancaire et de sa confirmation par un code reçu par sms via le dispositif 3D Secure. Ce système constitue un moyen de sécurisation courant utilisé dans le e-commerce. Selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement pour l’année 2017, 73% des commerçants en avril 2018 en étaient équipés.

Par ailleurs, la norme technique de réglementation relative à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication adoptée le 27 novembre 2017 précise que les prestataires de services de paiement doivent s’assurer de l’indépendance de ces éléments « afin que la compromission de l’un ne remette pas en question la fiabilité des autres ». En effet, cette disposition vise le cas où le payeur se servirait d’un même appareil électronique pour effectuer la transaction et authentifier le paiement, comme un téléphone mobile ou une tablette.

La mise en œuvre d’une authentification forte par les prestataires de service de paiement

Selon l’article 97 de la directive DSP2, les États membres doivent veiller à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur « accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse ».

Ainsi, les exigences relatives à l’authentification forte du client s’appliquent aux paiements initiés par le payeur, que celui-ci soit une personne physique ou une personne morale. A contrario, la norme technique de 2017 précise que les paiements effectués par l’intermédiaire d’instruments de paiement anonymes, telles que les cartes bancaires prépayées, ne sont pas soumis à l’obligation d’authentification forte du payeur.

De plus, les prestataires de services de paiement devront s’assurer que la transmission des données de sécurité personnalisées de l’utilisateur (code PIN, mot de passe, empreinte biométrique, etc.) soit protégée. Les données devront être partagées uniquement avec leur propriétaire, c’est-à-dire le payeur.

Quels sont les dérogations prévues par la directive DSP2 ?

L’exigence d’une authentification forte a fait l’objet de critiques, en raison de son impact négatif supposé sur le commerce électronique. En effet, alors que la double identification du payeur permet de lutter contre la fraude, elle a pour conséquence de rallonger le processus d’achat et donc potentiellement de dissuader des acheteurs. Conscient de cette problématique, le législateur européen a entendu accorder des dérogations afin de favoriser l’accessibilité des paiements électroniques.

La directive DSP2 a donc prévu que l’authentification forte n’était pas obligatoire dans les cas suivants :

  • Les paiements initiés d’un montant inférieur à 30€, augmenté à 50€ pour les paiements sans contact ;
  • Les paiements composés de moins de six transactions successives ou dont le montant cumulé ne dépasse pas 100€ pour un paiement classique ou 150€ pour un paiement sans contact ;
  • Les paiements vers un bénéficiaire inscrit sur une liste de « bénéficiaire de confiance »
  • Les transactions considérées comme étant à faible risque : les établissements bancaires peuvent déterminer leur « taux de fraude » à la suite d’une analyse des risques. Ce taux est obtenu en examinant toutes les transactions traitées par les établissements parties à la transaction, c’est-à-dire l’établissement du client acheteur et du commerçant vendeur. Un nombre moindre de transactions frauduleuses permettra à l’établissement bancaire d’obtenir un taux faible. Toutefois, le seuil fixé par la directive DSP2 autorisant le prestataire de service de paiement de ne pas utiliser l’authentification forte est volontairement très bas.
  • Les paiements initiés à partir d’un automate de paiement afin de régler des frais de transport (péage) ou de parking.

Quels sont les impacts de la directive DSP2 ?

La norme technique de 2017 relative à l’authentification forte qui s’appliquera à partir du 14 septembre 2019 prévoit que l’initiative de l’utilisation de l’authentification forte est entre les mains du prestataire de service de paiement du payeur. Or, actuellement, cette décision revient au e-commerçant. Désormais, le prestataire de services de paiement du payeur devra recourir systématiquement à l’authentification forte pour les opérations entrant dans le champ de la directive DSP2. Il pourra également décider d’appliquer ce dispositif dans les cas d’exceptions prévus par la directive DSP2 en cas de risque élevé présenté par l’opération de paiement.

Selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement pour l’année 2017, cette évolution encourage l’échange d’informations entre le e-commerçant et le prestataire de service de paiement du payeur afin d’évaluer le niveau de risque d’une opération de paiement électronique. En effet, des progrès ont été observés en matière de prévention de la fraude. Ces derniers s’expliquent notamment par l’utilisation déjà croissante d’un système d’authentification forte, tel que le protocole 3D-Secure, et le développement d’analyse de risques des transactions par les prestataires de services de paiement et les commerçants.

Par ailleurs, l’absence d’authentification forte de l’acheteur a des conséquences en cas de transactions non autorisées par le payeur, celui-ci ne devant alors pas supporter de perte financière. Par principe, en cas de fraude au moyen de paiement, l’établissement bancaire du payeur est seul chargé de lui rembourser les sommes indûment débitées de son compte. Toutefois, en l’absence d’authentification forte utilisée par le commerçant, il résulte des dispositions de l’article 74 de la directive, transposées à l’article L133-19 du Code monétaire et financier, qu’il revient au commerçant ou à son prestataire de services de paiement de rembourser les sommes débitées à l’établissement bancaire.