Les changements introduits par la DSP2

Logo du CNPS Logo-CNPS

La deuxième directive européenne sur les services de paiement (DSP2), en vigueur dans l’Union européenne depuis le 13 janvier 2018, comporte un ensemble de dispositions règlementaires visant à encadrer la prestation de services de paiements et renforcer la sécurité des paiements à l’échelle européenne.

 

 

Les agrégateurs de comptes

De quoi parle-t-on ?

 

Les agrégateurs de comptes mettent à la disposition de leurs clients une interface offrant une vision consolidée de leurs compte(s) de paiement détenus dans un ou de plusieurs établissements. Les agrégateurs de comptes bénéficient d’un cadre juridique depuis la deuxième directive sur les services de paiement [lien vers la directive]. Ils reçoivent notamment un agrément de l’Autorité de contrôle prudentiel et de résolution (ACPR) pour pouvoir exercer leurs activités, qui sont par ailleurs soumises au contrôle de l’Autorité.

 

 

Ces services sont-ils réellement sécurisés ?

 

Oui. La DSP2 impose à ces établissements de prendre des mesures de sécurité pour garantir la protection des données personnelles des utilisateurs. L’ACPR ne délivre des agréments que lorsque les agrégateurs apportent toutes les garanties de sécurité. Elle est aidée dans cette tâche par les services de la Banque de France en charge de la surveillance des moyens de paiements scripturaux qui réalisent un bilan sur la sécurité des infrastructures techniques de ces établissements.

 

 

Le prestataire a-t-il toujours accès à mes données après que j’ai résilié ses services ?

 

La DSP2 et le règlement délégué relatif à l’authentification forte prévoient que l’utilisateur doit procéder à une authentification forte au moins tous les 90 jours pour que l’agrégateur puisse accéder à ses données de comptes de paiement. En France, pour la clientèle de particuliers, de nombreux établissements accordent aux agrégateurs de comptes ce délai de 90 jours et n’imposent pas d’authentification plus fréquente. 

Ainsi, au-delà de 90 jours, si vous n’avez pas renouvelé votre authentification, le prestataire ne peut plus accéder à vos données de comptes.

En outre, à tout moment, vous pouvez résilier le service auprès du prestataire. Ce dernier est alors tenu par la réglementation de ne plus accéder à vos données de comptes.

Enfin, en cas de suspicion d’accès non autorisé, l’utilisateur peut demander à son établissement teneur de compte de révoquer les droits du prestataire.

 

 

 

 
Les initiateurs de paiement

 

De quoi parle-t-on ?

 

Les initiateurs de paiement permettent aux utilisateurs d’effectuer des paiements sans passer par leur espace de banque en ligne grâce à l’interface fournie par les initiateurs et sans avoir à remplir les coordonnées du bénéficiaire. Ils permettent notamment de réaliser un paiement sur Internet auprès d’un commerçant. La DSP2 a donné un cadre juridique aux initiateurs de paiement qui reçoivent un agrément de l’ACPR.

 

 

Quelle est la différence par rapport à un paiement par carte ?

 

Un paiement par carte ne fait pas exactement intervenir les mêmes acteurs et les mêmes processus techniques. Lorsqu’un utilisateur effectue un paiement par carte, une demande d’autorisation de paiement est transmise par la banque du commerçant (acquéreur) auprès de la banque du client (émetteur) sur ce qu’on appelle des serveurs d’autorisation. Les banques sont mises en relation grâce aux schémas de paiement (en France, on compte notamment Cartes Bancaires, Visa, Mastercard ou American Express). Lorsque la banque du client autorise la transaction, elle garantit le paiement à la banque du commerçant. Les marchandises peuvent alors être envoyées.

Un paiement via un initiateur n’implique que l’initiateur et la banque du client. Ce dernier invite l’utilisateur à sélectionner sa banque. L’utilisateur est alors redirigé vers une page d’authentification. Une fois cette authentification réalisée, le paiement est effectué. L’initiateur reçoit une confirmation de la banque du client, informe le commerçant et les marchandises peuvent être envoyées.

 

 

Un initiateur de paiement peut-il conserver mes données pour effectuer de nouveaux paiements ?

 

La réglementation interdit aux initiateurs de paiement de conserver les données de paiement sensibles concernant l’utilisateur. Une authentification est par ailleurs nécessaire à chaque fois qu’un paiement est réalisé. Si un initiateur conservait de telles données, il s’exposerait à des sanctions de la part de l’ACPR. 

Le renforcement de la sécurité des paiements en ligne

 

Qu’est-ce que l’authentification forte et à quoi sert-elle ?

 

L’authentification forte implique la confirmation d’au moins deux facteurs d’authentification de catégories différentes parmi les trois catégories suivantes : i) la possession (une clé, un téléphone portable, etc.) ; ii) la connaissance (un mot de passe) et iii) l’inhérence (une empreinte digitale). Dans une grande majorité des cas, l’authentification forte implique l’ouverture de l’application mobile de banque en ligne de l’utilisateur et la saisie d’un mot de passe (ou le contrôle de l’empreinte digitale) sur un téléphone préalablement enregistré par l’établissement teneur de compte. Cette méthode remplace l’envoi d’un SMS sur le téléphone portable, qui ne remplit qu’un seul des deux critères s’il n’est pas associé à la confirmation d’un mot de passe. 

 

L’authentification forte permet de renforcer significativement la sécurité pour la connexion à votre espace de banque en ligne et pour l’émission de paiements. Un utilisateur malveillant ne pourrait accéder à l’espace d’un autre utilisateur avec le seul mot de passe. Lors d’un paiement par carte sur Internet, la saisie des informations de la carte de paiement n’est pas suffisante pour effectuer la transaction. L’authentification forte prévue par la DSP2 est plus sécurisée que le seul SMS car il n’est pas impossible d’intercepter les SMS de confirmation de paiement envoyés par les établissements teneurs de comptes (technique du SIM Swapping).

 

 

Un établissement bancaire est-il tenu de proposer plusieurs dispositifs d’authentification forte ?

 

La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones et ne pouvant donc installer les solutions mobiles des banques françaises permettant une authentification forte. Les solutions alternatives qui pourraient être proposées sont les suivantes :

  • le maintien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts : i) le code reçu par SMS ou par serveur vocal interactif et ii) un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne). La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité ;
  • l’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif.

 

 

Mis à jour le : 18/05/2021 14:29