Secteur bancaire et DSP2 : un mariage de raison ?

Les banques le savent bien… le nombre de transactions électroniques explose, tout comme les risques qui pèsent sur elles, en premier lieu desquels l’usurpation d’identité. Parallèlement, les exigences des clients et les obligations légales en matière de sécurité sont de plus en plus importantes. Dans ce contexte, la Directive européenne sur les Services de Paiements dans le marché intérieur est entrée en application en janvier 2018. Le règlement de la Commission qui devait fixer les éléments techniques relatifs à l’identification forte devait quant à lui entrer en application le 14 septembre 2019. Or, l’Union Européenne, consciente de certaines difficultés rencontrées par les banques et sites e-commerce dans son application, a accordé à 20 Etats membres, dont la France, un délai pour la mise en application de cette nouvelle directive jusqu’à 2022. Alors quels sont ses objectifs ? Quel est son périmètre d’action ? Comment faut-il accueillir ce report ? Eléments de réponse et analyse…

La DSP2 touche tout le secteur bancaire. Elle a pour ambitions d’harmoniser au niveau européen la réglementation sur les paiements en prenant en compte les avancées technologiques, d’améliorer le niveau de sécurité des paiements en ligne et la protection des consommateurs.

DSP2, concrètement ça change quoi ?

La DSP2 doit changer les règles d’authentification en imposant aux prestataires de services de paiement en ligne des procédures d’authentification forte de leurs clients pour les paiements supérieurs à 30 euros. Les sites e-commerce et les banques doivent ainsi mettre en place des dispositifs d’authentification forte de leurs clients, par exemple au moyen d’une donnée biométrique telle que l’empreinte digitale.

Le processus d’authentification forte consiste à s’assurer que les clients des banques sont bien à l’origine d’un paiement dématérialisé par CB ou de la connexion à leur « espace client », à l’aide d’au moins deux de ces trois éléments :

• Une information connue uniquement par eux : mot de passe, code secret, question secrète ; 
• L’utilisation d’un appareil leur appartenant : téléphone portable, carte à puce, montre connectée ; 
• Une caractéristique personnelle : reconnaissance faciale, vocale, empreinte digitale.

Si l’un de ces éléments de l’identité numérique d’une personne est faux, l’opération ou la connexion à l’espace bancaire personnel est alors interdite. Par ailleurs, si une banque ou un prestataire de services de paiement1 ne vérifie pas un paiement au moyen d’une authentification forte, le client n’a alors pas à supporter les conséquences financières d’une opération dont il n’est pas à l’origine.

Par ailleurs, le règlement délégué2 qui complète DSP2 impose aux entreprises de disposer de deux certificats d’identité numérique : l’un pour sécuriser et authentifier les transactions financières, l’autre pour chiffrer les flux d’échanges entre les banques et les prestataires de services de paiement tiers. L’article 34 de ce même règlement impose des certificats qualifiés de cachet électronique ou des certificats qualifiés d’authentification de site internet.

DSP2 : les raisons du report

Parmi les principaux obstacles qui ont amené l’UE à reporter la mise en application de DSP2, citons notamment :

• Retard des professionnels dans la mise en place de procédés d’authentification forte ;
• Méconnaissance par les entreprises du paiement en ligne de l’authentification forte ; – Faible niveau d’équipement en smartphone biométriques des français ;
• Taux de conversion : craintes des commerçants de voir le nombre d’achats en ligne baisser fortement avec la double authentification jugée contraignante.

Une étude de 451 Research de juin 2019 prévoit à cet égard une perte de 57 milliards d’euros pour l’activité économique au sein de la zone euros, la première année suivant l’introduction de l’authentification forte.

Le secteur bancaire doit se mettre en ordre de marche d’ici 2022

La sécurisation des paiements en ligne est incontestablement indispensable pour les banques puisqu’il s’agit de leur « cœur business ». Les banques utilisent par ailleurs des services de confiance comme la signature électronique. Or, plus les établissements bancaires montent en gamme de service de signature en utilisant par exemple de la signature électronique avancée avec certificat qualifié, plus les exigences d’authentification requises par DSP2 et le règlement européen eIDAS (qui encadre les services de confiance) sont similaires, qu’il s’agisse du déclenchement d’un paiement en ligne ou de celui d’une signature électronique. Une véritable convergence existe donc entre ces deux mondes. Il est primordial pour les établissements bancaires de ne pas s’improviser sur le sujet de l’authentification forte, compte-tenu de l’enjeu réglementaire et des impacts économiques liés.

En tant que Prestataire de Services de Confiance qualifié selon le règlement européen eIDAS, nous sommes un expert de la signature électronique et apportons à nos clients notre expertise sur l’authentification forte, tant sur le plan de la conformité réglementaire que sur l’expérience utilisateur. Notre volonté est ainsi d’assurer aux clients des banques une expérience utilisateur optimale et toutes les garanties nécessaires en termes de sécurité et de respect de la réglementation.

1 Etablissements de crédit et de paiement 2 Règlement délégué (UE) 2018/389 du 27 novembre 2017