Payment Services Directive 2 (PSD2) et authentification forte du client : FAQ

La PSD2 est entrée en vigueur le 13/01/2018. Elle est le fruit d'une réglementation étendue des transactions financières en Europe par la Commission européenne qui a été transposée en droit local dans les différents États de l'UE.

Les règles applicables découlant de la PSD2 n'entrent toutefois en application qu'à compter du 14/09/2019.

L'un des objectifs principaux est de sécuriser les paiements en ligne au profit des clients. Dans ce contexte, une mesure essentielle est la mise en œuvre obligatoire de l'authentification forte du client. Elle doit intervenir avant l'exécution d'un paiement en ligne depuis une banque (par exemple par carte de crédit ou par virement en ligne).

La plupart des banques se sont donc rapprochées de leurs clients au cours de ces derniers mois afin de les informer des futures modifications et des ajustements correspondants de leurs conditions générales de vente.

Désormais, les banques devront s'assurer que deux des trois caractéristiques du client sont vérifiées avant l'exécution d'un paiement en ligne :

• Possession (par exemple carte de crédit, téléphone portable)
• Connaissance (par exemple un code PIN)
• Caractéristiques personnelles ou corporelles uniques du client (par exemple : empreinte digitale, caractéristiques faciales).

Ainsi, pour procéder à l'authentification forte du client, un client doit d'abord valider le paiement, par exemple à l'aide de son empreinte digitale associée à son téléphone portable avant que le paiement ne soit effectué.

Ces méthodes, dites biométriques, doivent permettre au client de s'authentifier plus facilement, vu qu'il n'a besoin que de ce qu'il a sur lui de toute façon. Dans l'exemple ci-dessus, il s'agit de son téléphone portable et de son empreinte digitale.

Les mots de passe statiques ne suffiront plus.

En cas de paiements par carte de crédit, les banques doivent exiger une authentification forte du client au niveau des commerçants. C'est pourquoi les commerçants doivent veiller à ce qu'un client s'authentifie sur une page de la banque qui s'affiche chez lui, afin de prouver son identité avec certitude. Cela permet de garantir qu'aucune personne non autorisée n'a accès à son compte en banque, ou n'effectue des paiements en son nom.

Même les paiements par virement qui sont initiés par des prestataires tiers, comme SOFORT en Allemagne ou iDeal aux Pays-Bas, doivent passer par une authentification forte du client.

Non. La PSD2 prévoit certaines exceptions à la règle de mise en œuvre de l'authentification forte du client.
Le cas échéant, une authentification forte du client ne s'impose pas lorsque :

• La banque du client considère comme faible le risque que le client ne soit pas à l'origine du paiement, et qu'il s'agisse en fait d'un tiers non autorisé.
• Le montant à payer s'élève à 30 EUR maximum. À noter : les banques doivent toutefois exiger de nouveau une authentification forte du client lorsque cinq paiements ont été effectués depuis la dernière authentification ou lorsque la somme des montants payés depuis la dernière authentification dépasse 100 EUR.
• Le client paye un commerçant que le client a signalé comme étant digne de confiance à sa banque. Le client peut généralement l'indiquer pendant le processus d'authentification.

Remarque importante :
Malgré toutes les exceptions, la banque du client est en droit d'exiger une authentification forte du client à tout moment. Il est donc impossible de garantir qu'une authentification forte du client n'aura pas lieu.

Une authentification forte du client ne s'impose jamais lorsque :

• Le client a accordé au commerçant un mandat de déclenchement de paiements. Cela s'effectue durant la souscription du client à un service correspondant que le commerçant propose. À cette fin, le client enregistre aussitôt les renseignements requis pour les paiements et passe par l'authentification forte du client.
• Un paiement est effectué dans le cadre d'un abonnement. L'authentification forte du client n'intervient qu'une fois lors de la souscription de l'abonnement.

En fin de compte, c'est la banque du client qui choisit les méthodes d'authentification forte du client proposées au client. Le commerçant n'influe pas sur ce choix.

De même, il n'a pas connaissance de la méthode que le client choisit et met en œuvre pour l'authentification forte du client.

Cela s'explique par l'utilisation d'iFrames d'affichage des pages d'authentification forte du client de la banque ou de prestataires tiers de services de paiement (comme iDeal).

Le commerçant n'influe pas sur les pages affichées dans l'iFrame et n'y a pas accès.

De même, pour les méthodes de paiement concernées, pour lesquelles le commerçant redirige le client vers le prestataire de service de paiement (par exemple SOFORT), il ne sait pas quelles méthodes s'affichent et laquelle le client sélectionne.

3D Secure est une procédure générale censée assurer la sécurité des paiements en ligne par carte de crédit. Son objectif est de réduire le risque de fraude, en s'assurant que le client confirme son identité par un code ou un mot de passe.

3D Secure 2.0 est l'évolution de cette procédure qui vise à satisfaire aux exigences de la PSD2 en matière d'authentification forte du client grâce à des mesures concrètes.

L'authentification forte du client des paiements par carte de crédit sera désormais garantie par la mise en œuvre de 3D Secure 2.0.

L'authentification forte du client via 3D Secure 2.0 se fera par exemple via une application de la banque du client. Sur la page de la banque du client s'affichant chez le commerçant, le client sera invité à ouvrir cette application sur son téléphone. Selon la procédure, l'application effectuera un contrôle, par exemple en scannant l'empreinte digitale sur le téléphone.

Les banques proposeront probablement différentes méthodes, et le client choisira celle qu'il souhaite utiliser.

Parmi les autres méthodes possibles, citons des mots de passe à usage unique s'affichant chez le client dans une application dédiée ou la reconnaissance faciale via l'application bancaire du client.

Même les virements en ligne via des services d'ordre de paiement comme SOFORT, iDeal, Multibanco ou Przelewy24, devront désormais intégrer l'authentification forte du client.

De nombreux commerçants ainsi que des banques ne sont pas encore prêts à prendre en charge l'authentification forte du client, tel que requis, à compter du 14/09/2019.

C'est pourquoi le 21/06/2019, l'European Banking Authority (EBA) a recommandé aux États de l'UE et à leurs autorités de surveillance financière compétentes en matière de mise en œuvre de la PSD2 d'accorder un délai aux entreprises concernées.

De ce fait, certains pays maintiendront le délai, d'autres accorderont un sursis aux banques.
Dans les pays dans lesquels un sursis est accordé, il y aura des banques qui commenceront à exiger l'authentification forte du client dans les temps à compter du 14/09/2019.

Pour savoir quand votre banque exigera l'authentification forte du client, et comment elle s'y prendra, nous vous invitons à vous rapprocher de votre banque.