Les innovations technologiques applicables dans le secteur financier d’une part et l’évolution des besoins et des habitudes des consommateurs d’autre part, mais aussi les mutations des modèles économiques, ont d’office entrainé une remise à jour des systèmes bancaires classiques. Ces derniers doivent en effet s’adapter aux changements afin de rester dans la course. Le DSP, mis en place il y a une dizaine d’années, avait déjà pour principe et objectifs d’appliquer un cadre juridique harmonisé des services de paiements en Europe.
L’arrivée de nouveaux acteurs dans le monde financier, notamment celle des Fintechs et le développement des banques et organismes de paiement dématérialisé et à distance, ont imposé une remise à jour de la DSP et de son cadre législatif, d’où la création de la DSP2.
La manière de payer les achats en ligne va progressivement changer d'ici 2021, avec l'entrée en vigueur de nouvelles normes destinées à renforcer la sécurité des transactions. Afin de réduire la fraude et mieux protéger juridiquement les consommateurs, la DSP2 (Directive européenne sur les services de paiement 2e version) prévoit un renforcement de la sécurisation des paiements en ligne. L’envoi d’un code personnel par SMS ne sera plus suffisant et des dispositifs « d’authentification forte » devront être mis en place, telles que la reconnaissance biométrique, combinées à d'autres dispositifs de contrôle. Mais les banques, qui ne sont pas encore prêtes, bénéficient d'un délai supplémentaire de trois ans du fait de leur retard dans ce domaine.
Voici un décryptage de ces règles et leurs conséquences.
Qu'est-ce que la directive DSP2?
Il s'agit de la deuxième directive européenne sur les services de paiement. Deuxième parce que la première directive est devenue inadaptée en raison de l’apparition de nouveaux types de paiements et de services ainsi que l’évolution des paiements électroniques et mobiles.
Adoptée mi-janvier 2018, elle prévoit une nouvelle couche de sécurité, appelée « authentification forte », sur les transactions et opérations bancaires en ligne afin de faire davantage baisser le taux de fraude. En outre, la responsabilité de cette authentification incombe aux banques et non plus aux commerçants en ligne.
Par ailleurs, cette directive définit le statut juridique des services d'agrégation de comptes et des initiateurs de paiements. Désormais, ces deux activités devront être opérées par des prestataires agréés. La directive établit leurs conditions d'exercice et la manière dont ils doivent fonctionner avec les banques de leurs clients. L'objectif est de protéger les consommateurs qui, jusqu'ici n'étaient pas couverts juridiquement, et de stimuler la concurrence sur les services de paiement.
Quels changements pour les consommateurs ?
Avant le 14 septembre (2019), « les achats en ligne (faits avant cette ligne butoir) ne seront pas touchés par la DSP2. Aucune modification ne sera faite dans les modalités de paiement des achats à distance », a assuré Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française.
Si l'usage d'un seul code reçu pour sécuriser une transaction en ligne ne sera plus jugé suffisant, il sera progressivement renforcé ou remplacé par d'autres solutions, comme la reconnaissance biométrique (empreinte, reconnaissance faciale), l'émission d'un code personnel envoyé par courrier ou la connexion obligatoire à l'application mobile bancaire.
Et d’ailleurs, la plupart des banques ont déjà prévenu leurs clients que, pour accéder à leurs comptes bancaires, nécessitera aussi une authentification renforcée à minima tous les 90 jours. Qu’est-ce que cela signifie ? Lorsque le client se connectera sur son espace bancaire en ligne, un code secret supplémentaire à usage unique devra être engagé dans le but donc de renforcer l’authentification. Il pourra l’être pour être réceptionné de plusieurs manières, selon l’établissement bancaire et les préférences du client :
- Par SMS (sur mobile)
- Via l’application de la banque après notification (sur smartphone notamment)
- Par message vocal (sur ligne fixe par exemple)
L’Autorité Bancaire Européenne (ABE) entend imposer l’usage de l’Interface de Programmation Applicative ou API tandis que l’utilisation du « screeen scraping » sera limitée. Enfin, les consommateurs seront protégés des prélèvements non autorisés ou de l’utilisation d’outil de paiement volé, notamment par le remboursement inconditionnel des sommes en cause.
En revanche, certaines opérations seront exemptées d'authentification forte comme les achats à distance de moins de 30 euros, les paiements aux automates de transport et de parking, les virements entre comptes d'une même personne au sein d'un même établissement bancaire ou encore les virements vers des personnes enregistrées comme « bénéficiaires de confiance » par le client auprès de sa banque.
En effet, en 2018, selon l’Observatoire de la sécurité des moyens de paiement, le taux de fraude par paiement authentifié était de 0,07 %, contre 0,21 % pour les transactions non authentifiées. Des chiffres qui prouvent ainsi l’importance de l’authentification lors des paiements en ligne ou chez les commerçants.
Pour les personnes qui souhaiteraient effectuer un achat en ligne et ne posséderaient pas de smartphones, l’opération se complique : impossible alors d’effectuer une empreinte biométrique ou de vérifier la possession d’un téléphone. « Les banques vont devoir s’adapter à un public moins connecté, dit-on à la Banque de France. Mais elles ne semblent pas encore avoir développé de tels dispositifs. »
Et pour les professionnels ?
Les principaux concernés sont les banques, les opérateurs techniques du paiement et les commerçants. Tous devront se raccorder à une nouvelle version du protocole de paiement sécurisé sur Internet, 3-D Secure – un protocole sécurisé de paiement sur internet développé par Visa et MasterCard. Il vise à renforcer la sécurité des paiements en ligne afin de limiter les fraudes à la carte bancaire. Son but ? S’assurer lors de chaque paiement que la carte bancaire est bien utilisée par son véritable titulaire, via un code à usage unique, un mot de passe ou encore une date de naissance.
Pour les commerçants en ligne en France, il s'agit du « chantier du siècle, a estimé auprès de l'AFP Marc Lolivier, directeur général de la Fevad (Fédération du e-commerce et de la vente à distance). Cela touche plus de 547 milliards d'euros de chiffre d'affaires en Europe. Rien qu'en France, cela concerne 38 millions de Français, plus de 200.000 entreprises et plus de 50 commandes traitées à la seconde », détaille-t-il.
L'enjeu est « trouver le bon curseur entre lutter contre la fraude et le fait ne pas freiner le développement de l’e-commerce », qui atteint 10% des ventes totales en France et représente près de 100 milliards d'euros de ventes. D’après leur fédération côté banques, tous les acteurs sont prêts
Sur un autre registre, si l’authentification forte est également mise en place pour les paiements dits « de proximité », ceux sans contact par carte bancaire ne seront que peu impactés par la mise en place de la DSP2. En effet, l’authentification forte ne sera appliquée que dans 2 cas pour les paiements sans contact :
- Lorsque le client aura effectué 150 euros d’achats consécutifs cumulés
- Ou lorsqu’il aura effectué 5 opérations consécutives depuis la date de sa dernière authentification forte
Dans ces cas-là, il devra insérer sa carte dans le terminal de paiement et taper son code. Ces principes de sécurité sont généralement déjà mis en place par les banques à l’heure actuelle.
Toutefois, les paiements par mobile eux ne sont pas concernés par ces directives. En effet, il existe déjà une authentification forte pour les paiements par mobile puisque le consommateur s’identifie via son empreinte digitale ou par reconnaissance faciale.
Quel est le calendrier ?
Sur le papier, le démarrage devait être lancé le 14 septembre. Sauf que tous les acteurs n’étaient pas prêts en France comme dans d'autres pays européens comme le Royaume-Uni, l'Allemagne ou l'Espagne.
Devant le risque de perturbations du commerce électronique, l'Autorité Bancaire Européenne (ABE), qui fixe les normes techniques de DSP2 et coordonne son application en Europe, a décidé d'accorder aux États membres un « délai supplémentaire limité » pour se mettre en conformité.
En France, d'ici à décembre 2020, « plus des trois quarts des utilisateurs et des transactions réalisées sur internet » devront être passés à l'authentification forte, selon le calendrier présenté par l'Observatoire de la sécurité des moyens de paiements (OSMP), organisme rattaché à la banque de France.
Un délai supplémentaire d'un an et demi maximum pourra être accordé pour trouver des solutions aux cas plus spécifiques (personnes peu équipées en technologie, expatriés, populations fragiles financièrement).
Les professionnels devront pour leur part avoir mis à niveau leurs systèmes aux nouvelles exigences réglementaires d'ici mars 2021.
Les problématiques soulevées par la DSP2
La règlementation DSP2 est une politique de lutte contre les fraudes perpétrées à l’occasion des transactions effectuées en ligne. Ainsi, elles visent aussi les e-commerçants, les banques en ligne mais aussi les enseignes bancaires classiques.
Les établissements du secteur bancaire estiment que l’application des nouveaux protocoles d’authentification est problématique. Pour eux, des tests à grande échelle auraient dû être effectués, ce qui n’est pourtant pas le cas. Ils soulignent par ailleurs que les petites structures ne disposent pas de logiciels adaptés au nouveau système.
En outre, des acteurs bancaires ont indiqué que la nouvelle règlementation pourrait générer des pertes importantes au niveau des commerçants. Sans mentionner l’éventualité d’une croissance des plaintes émanant de clients lésés par ce système.
Ainsi, l’application de la DSP2 sera problématique pour près de 5 000 organismes de crédit répartis à travers l’Europe. Elle affectera également de nombreuses enseignes du e-commerce. Des sociétés œuvrant dans le traitement des paiements comme Amazon seront également touchées par cette nouvelle règlementation.