De nouvelles normes destinées à renforcer la sécurité des transactions en ligne vont entrer en vigueur samedi.
D’ici 2021, la manière de payer ses achats en ligne va progressivement changer. Samedi 14 septembre, de nouvelles normes vont entrer en vigueur. Le but ? Renforcer la sécurité des transactions. Reconnaissance biométrique, accès en ligne aux comptes bancaires, achats à distance… Voici quatre questions pour comprendre ces nouvelles règles et leurs conséquences.
Qu’est-ce que la directive DSP2 ?
Il s’agit de la deuxième directive européenne sur les services de paiement. Adoptée mi-janvier 2018, elle prévoit une nouvelle couche de sécurité, appelée « authentification forte », sur les transactions et opérations bancaires en ligne afin de faire davantage baisser le taux de fraude. En outre, la responsabilité de cette authentification incombe aux banques et non plus aux commerçants en ligne.
Par ailleurs, cette directive définit le statut juridique des services d’agrégation de comptes et des initiateurs de paiements. Désormais, ces deux activités devront être opérées par des prestataires agréés. La directive établit leurs conditions d’exercice et la manière dont ils doivent fonctionner avec les banques de leurs clients. L’objectif est de protéger les consommateurs, qui jusqu’ici n’étaient pas couverts juridiquement, et de stimuler la concurrence sur les services de paiement.
Qu’est-ce que cela change pour les consommateurs ?
« Les achats en ligne ne seront pas touchés par la DSP2 au 14 septembre. Aucune modification ne sera faite dans les modalités de paiement des achats à distance », a assuré Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française. Si l’usage d’un seul code reçu par SMS pour sécuriser une transaction en ligne ne sera plus jugé suffisant, il sera progressivement renforcé ou remplacé par d’autres solutions, comme la reconnaissance biométrique (empreinte, reconnaissance faciale), l’émission d’un code personnel envoyé par courrier ou la connexion obligatoire à l’application mobile bancaire. L’accès aux comptes bancaires nécessitera aussi une authentification renforcée a minima tous les 90 jours.
En revanche, certaines opérations seront exemptées d’authentification forte comme les achats à distance de moins de 30 euros, les paiements aux automates de transport et de parking, les virements entre comptes d’une même personne au sein d’un même établissement bancaire ou encore les virements vers des personnes enregistrées comme « bénéficiaires de confiance » par le client auprès de sa banque.
Qu’est-ce que cela change pour les professionnels ?
Les principaux concernés sont les banques, les opérateurs techniques du paiement et les commerçants. Tous devront se raccorder à une nouvelle version du protocole de paiement sécurisé sur Internet, 3-D Secure, qui permettra aux banques, des commerçants et des clients, de se connecter entre elles pour déclencher l’authentification renforcée et valider la transaction.
Pour les commerçants en ligne en France, il s’agit du « chantier du siècle, a estimé Marc Lolivier, directeur général de la Fevad (Fédération du e-commerce et de la vente à distance). Cela touche plus de 547 milliards d’euros de chiffre d’affaires en Europe. Rien qu’en France, cela concerne 38 millions de Français, plus de 200 000 entreprises et plus de 50 commandes traitées à la seconde », détaille-t-il. L’enjeu est de « trouver le bon curseur entre lutter contre la fraude et le fait ne pas freiner le développement du e-commerce », qui atteint 10% des ventes totales en France et représente près de 100 milliards d’euros de ventes. Côté banques, tous les acteurs sont prêts, selon leur fédération.
Quand ces mesures seront-elles mises en place ?
Sur le papier, le démarrage est fixé au 14 septembre. sauf que tous les acteurs ne sont pas prêts en France comme dans d’autres pays européens comme le Royaume-uni, l’Allemagne ou l’Espagne. Devant le risque de perturbations du commerce électronique, l’Autorité Bancaire Européenne (ABE), qui fixe les normes techniques de DSP2 et coordonne son application en Europe, a décidé d’accorder en juin aux États membres un « délai supplémentaire limité » pour se mettre en conformité.
En France, d’ici à décembre 2020, « plus des trois quarts des utilisateurs et des transactions réalisées sur internet » devront être passés à l’authentification forte, selon le calendrier présenté ce mercredi par l’Observatoire de la sécurité des moyens de paiements (OSMP), organisme rattaché à la banque de France. Un délai supplémentaire d’un an et demi maximum pourra être accordé pour trouver des solutions aux cas plus spécifiques (personnes peu équipées en technologie, expatriés, populations fragiles financièrement). Les professionnels devront pour leur part avoir mis à niveau leurs systèmes aux nouvelles exigences réglementaires d’ici mars 2021.
Source : L’expansion