Depuis septembre 2019, il y a de nouvelles normes con­cer­nant l’au­then­ti­fi­ca­tion des paiements en ligne dans l’Union eu­ro­péenne (UE) et dans les États de l’Espace éco­no­mique européen (EEE). Elles font partie de la deuxième Directive sur les services de paiement, également connue of­fi­ciel­le­ment sous le nom de DSP2 (Directive sur les services de paiement 2). La mise en œuvre de toutes les normes devrait finir en 2021.

Un élément important de la deuxième Directive eu­ro­péenne sur les services de paiement est l’au­then­ti­fi­ca­tion forte des clients (Strong Customer Au­then­ti­ca­tion ou SCA en abrégé), également appelée « DSP2-SCA ». Cet article examine de plus près les normes de la « Strong Customer Au­then­ti­ca­tion » : derrière elle se cache toute une série de normes ju­ri­diques qui ont pour but de rendre les paiements sur Internet plus sûrs.

Qu’est-ce que la SCA et quelle sera son im­por­tance lors des paiements futurs ? Quels sont les paiements déjà concernés par la Directive, quelles sont les ex­cep­tions et comment le processus de paiement peut-il être optimisé ? Ces questions seront traitées en détail dans les prochains pa­ra­graphes.

Que signifie SCA (Strong Customer Au­then­ti­ca­tion) ?

Qu’est-ce que la SCA et quel est son intérêt pour les paiements futurs ? En bref, l’au­then­ti­fi­ca­tion forte des clients, ou Strong Customer Au­then­ti­ca­tion, fait partie d’une nouvelle Directive eu­ro­péenne qui vise à rendre les paiements en ligne plus sûrs en réduisant les pos­si­bi­li­tés de fraude. Sa prin­ci­pale in­no­va­tion est une étape d’au­then­ti­fi­ca­tion sup­plé­men­taire qui précède le paiement pro­pre­ment dit.

Con­for­mé­ment à la Directive DSP2-SCA, les paiements en ligne ne seront au­then­ti­fiés que si deux des trois étapes suivantes sont res­pec­tées :

  1. Con­nais­sance : l’uti­li­sa­teur fournit un mot de passe ou un code PIN qu’il est le seul à connaître
  2. Pos­ses­sion : l’uti­li­sa­teur utilise un or­di­na­teur, un smart­phone, une montre ou une Smartcard, une carte à puce ou un jeton d’au­then­ti­fi­ca­tion en sa pos­ses­sion
  3. Inhérence : l’uti­li­sa­teur s’identifie par ses em­preintes digitales, un scanner d’iris ou de visage, la re­con­nais­sance vocale, etc.
Note

L’Autorité bancaire eu­ro­péenne (ABE) a résumé dans un avis .docx la liste détaillée des éléments qui sont conformes aux trois étapes d’au­then­ti­fi­ca­tion.

Strong Customer Au­then­ti­ca­tion décrit une au­then­ti­fi­ca­tion dite à deux facteurs, qui garantit à deux reprises que l’uti­li­sa­teur est réel­le­ment celui qu’il prétend être.

Le principe existe depuis longtemps dans de nombreux domaines en ligne, mais cette norme de sécurité sup­plé­men­taire n’était pas encore obli­ga­toire pour les tran­sac­tions en ligne. Il suffisait aux client de sim­ple­ment saisir leurs coor­don­nées bancaires lors d’un achat pour le compléter. Bien que certaines en­tre­prises aient introduit l’au­then­ti­fi­ca­tion forte des clients depuis un certain temps, la DSP2-SCA vient seulement de rendre cette étape sup­plé­men­taire obli­ga­toire pour tous les four­nis­seurs.

Quand et pourquoi la Strong Customer Au­then­ti­ca­tion a-t-elle été in­tro­duite ?

La deuxième Directive eu­ro­péenne sur les paiements a déjà été in­tro­duite le 14 septembre 2019. Cependant, la date limite pour la mise en œuvre complète de toutes les exigences est en 2021. Mais l’histoire de l’au­then­ti­fi­ca­tion forte des clients remonte à plus loin encore.

La Directive eu­ro­péenne s’appuie sur trois domaines clés de la lé­gis­la­tion de 2007. À l’époque, tout comme aujourd’hui, l’Union eu­ro­péenne traitait de ces pro­blé­ma­tiques :

  1. Renforcer les droits des con­som­ma­teurs dans les opé­ra­tions de paiement
  2. Créer des con­di­tions égales pour tous en ré­gle­men­tant l’accès des tiers aux in­for­ma­tions sur les comptes.
  3. Améliorer la sécurité pour l’ensemble des parties

Ces aspects ont été intégrés dans la première édition de la Directive sur les services de paiement (DSP). Toutefois, depuis son in­tro­duc­tion, les progrès tech­no­lo­giques dans les opé­ra­tions de paiement ont continué à se dé­ve­lop­per à un rythme effréné : le nombre de services de paiement en ligne et de four­nis­seurs tiers (ou TPP pour Third-Party-Providers), a également augmenté, offrant aux acheteurs des moyens en­tiè­re­ment nouveaux de payer fa­ci­le­ment et ra­pi­de­ment. De plus, cela a permis aux vendeurs d’accéder aux in­for­ma­tions per­son­nelles sur les comptes des clients.

Toutefois, cela a également laissé l’accès aux comptes des con­som­ma­teurs ouvert, en­traî­nant un risque accru pour la sécurité. La réponse a ra­pi­de­ment pris la forme de lois claires ré­gle­men­tant les modalités d’accès des TPP et des pres­ta­taires de services de paiement aux comptes des clients.

Strong Customer Au­then­ti­ca­tion est désormais la prochaine étape pour réduire la fraude dans les tran­sac­tions en ligne. Cette tech­no­lo­gie sera utilisée pour toutes les tran­sac­tions fi­nan­cières ef­fec­tuées dans l’UE. La loi prend effet dès que le pres­ta­taire de services de paiement de l’en­tre­prise, la banque ou le four­nis­seur de cartes du donneur d’ordre est basé dans l’Espace éco­no­mique européen (EEE). Ainsi, même pour les en­tre­prises en ligne dont le siège social est situé hors Europe, les tran­sac­tions peuvent être soumises à une au­then­ti­fi­ca­tion forte du client, à condition que le paiement soit effectué par une banque de l’Espace éco­no­mique européen, par exemple.

Il s’agit d’une loi eu­ro­péenne qui affecte également les pres­ta­taires basés en dehors de l’EEE : c’est pourquoi les nouvelles exigences en matière d’au­then­ti­fi­ca­tion des paiements en ligne sont si complexes à mettre en place. Les pres­ta­taires de services de paiement ont donc déjà demandé à plusieurs reprises un délai dans la mise en œuvre de la DSP2-SCA. Il n’y a à l’heure actuelle aucun échéan­cier concret.

Quelle est la tech­no­lo­gie qui se cache derrière le SCA ?

3D Secure est le protocole d’au­then­ti­fi­ca­tion le plus largement utilisé pour les paiements en ligne. Il est proposé par la grande majorité des cartes de débit et de crédit eu­ro­péennes et est donc le plus populaire. Im­mé­dia­te­ment avant la fin du processus de paiement, le titulaire de la carte est invité à fournir des in­for­ma­tions sup­plé­men­taires comme la saisie d’un numéro d’iden­ti­fi­ca­tion personnel (TAN) envoyé à un téléphone portable ou d’une empreinte digitale via l’ap­pli­ca­tion bancaire.

Pour la Strong Customer Au­then­ti­ca­tion, la nouvelle version 3D Secure 2 est utilisée, ce qui fait d’elle la prin­ci­pale méthode of­fi­cielle d’au­then­ti­fi­ca­tion des paiements par carte en ligne. Les amé­lio­ra­tions de la nouvelle version sont prin­ci­pa­le­ment destinées à l’ex­pé­rience de l’uti­li­sa­teur. Les paiements en ligne sont donc assez faciles et rapides à effectuer, malgré les étapes d’au­then­ti­fi­ca­tion sup­plé­men­taires.

Ceux qui paient avec Apple Pay ou Google Pay utilisent déjà une option de paiement en ligne avec une étape d’au­then­ti­fi­ca­tion intégrée. Les deux four­nis­seurs ont déjà mis en place des mesures bio­mé­triques et pro­tec­tions par mot de passe, mais le processus de paiement est trans­pa­rent pour les clients, un exemple parfait de la tech­no­lo­gie qui sous-tend la DSP2-SCA.

Pour quelles tran­sac­tions une au­then­ti­fi­ca­tion forte du client est-elle né­ces­saire ?

DSP2-SCA s’applique à chaque fois qu’un client transfère de l’argent ou accède à son compte dans l’Espace éco­no­mique européen. Strong Customer Au­then­ti­ca­tion est donc toujours obli­ga­toire quand :

  • un client accède à son compte en ligne
  • un client effectue une opération de paiement élec­tro­nique
  • un client est exposé à un risque de fraude lors d’une tran­sac­tion en ligne

Comme pour toute loi, il existe des ex­cep­tions comme lors du paiement d’un abon­ne­ment. Dans ce cas, l’au­then­ti­fi­ca­tion forte n’a lieu que lorsqu’un abon­ne­ment est accepté, mais plus pendant la durée de celui-ci. Parmi les autres ex­cep­tions possibles, on peut citer les paiements à faible risque pour lesquels une au­then­ti­fi­ca­tion forte du client n’est pas né­ces­saire ou peut même être dé­ran­geante.

Note

Toutes les banques ne sont pas en mesure d’intégrer fa­ci­le­ment des étapes d’au­then­ti­fi­ca­tion sup­plé­men­taires dans leurs processus. Si elles peuvent assurer la sécurité et la mi­ni­mi­sa­tion des risques d’une manière dif­fé­rente et vé­ri­fiable, des ex­cep­tions sont également en­vi­sa­geables ici.

Des seuils existent également pour les trans­ferts de petits montants. Par exemple, les tran­sac­tions d’une valeur maximale de 30 euros sont con­si­dé­rées comme des paiements de « faible valeur », qui peuvent en principe être exemptés de la DSP2-SCA. Toutefois, afin de ne pas permettre une ac­cu­mu­la­tion des fraudes, il existe déjà des règles claires pour les montants de faible valeur :

  1. Les banques doivent également procéder à une au­then­ti­fi­ca­tion forte du client pour une carte dans le cas d’ex­cep­tions si la carte a déjà été utilisée cinq fois au­pa­ra­vant sans nouvelle au­then­ti­fi­ca­tion.
  2. Si la somme des tran­sac­tions exemptées dépasse 100 euros, Strong Customer Au­then­ti­ca­tion s’applique à la tran­sac­tion suivante, quel que soit le montant de la tran­sac­tion.

Les exemp­tions seront très utiles, en par­ti­cu­lier pour les petites en­tre­prises en ligne. Toutefois, il faut rappeler qu’en fin de compte, c’est la banque du client qui décide si ces exemp­tions sont ap­prou­vées ou non. Pour éviter de perdre des clients, il est conseillé de proposer plusieurs options de paiement conformes à la DSP2-SCA aujourd’hui.

Aller au menu principal