fbpx

DSP2 : Quels sont les impacts de la norme européenne pour les banques ?

Accueil Entrepreneur DSP2 : Quels sont les impacts de la norme européenne pour les banques ?

DSP2 : Quels sont les impacts de la norme européenne pour les banques ?

Dans un contexte de développement des achats en ligne et face à l’arrivée d’acteurs innovants dans ce secteur, la directive européenne DSP2 induit de nouvelles normes de sécurité et place la protection des consommateurs au centre de son dispositif. Pour les banques, la DSP2 présente des enjeux importants.

Elle les oblige notamment à mettre en œuvre l’authentification forte à plusieurs facteurs et à s’ouvrir aux prestataires de services de paiement tiers (PSP). Désormais, les banques ne sont plus les seuls intermédiaires entre le commerçant et son client. Elles doivent s’adapter et partager leurs données avec des sociétés financières agréées.

Que prévoit plus précisément la norme DSP2 ? Retour sur les différentes mesures en vigueur en France depuis 2019 et leurs implications pour les établissements financiers.

dsp2 banque
Image modifiée issue de : storyset.com

Contexte d’élaboration de la norme DSP2

Les limites de la directive DSP1

La première directive européenne sur les services de paiement (DSP 1) a été adoptée en 2007 et mise en œuvre en 2009. Elle organisait l’ouverture du marché des moyens de paiement à d’autres entreprises que les banques. Elle a ainsi permis de favoriser une concurrence positive sur les prix et les services rendus. 

La DSP1 visait également à améliorer la protection du consommateur en allongeant la durée de contestation des opérations. Depuis, la charge de la preuve incombe à la banque en cas de mouvements non autorisés ou mal exécutés sur votre compte bancaire.

Néanmoins, après 10 ans d’existence, la DSP1 atteint ses limites et ne réussit plus à couvrir toutes les évolutions technologiques et tous les aspects du commerce en ligne actuel.

Un besoin croissant de cadre juridique et de sécurité

Entre 2009 et 2018, le chiffre d’affaires annuel du e-commerce en France a été multiplié par 3,7, passant de 25 à 92,6 milliards d’euros. Cette progression s’accompagne de l’arrivée de nouvelles habitudes de paiement et de nouveaux acteurs, comme les fintech.

Parallèlement à cela, le taux de fraude augmente et se développe, particulièrement dans le commerce en ligne. 

La norme DSP2, votée en 2015 par le Parlement européen et entrée en vigueur dans le droit français en 2018, répond aux récentes préoccupations suscitées par les transactions sur internet : la sécurisation des opérations et la protection des données des utilisateurs.

Objectifs de la directive européenne DSP2

La directive sur les services de paiement, dite DSP2, entend créer un marché unique du numérique au sein de l’Europe. L’innovation et le développement de systèmes de paiement à distance et mobile figurent au cœur du dispositif.

DSP2 poursuit plusieurs objectifs : 

  • l’interdiction de surfacturation lors d’un règlement par carte bancaire sur internet ou dans un commerce ;
  • l’instauration de règles strictes en matière de paiements sur internet et de protection des données financières des clients ;
  • l’ouverture du secteur des paiements de l’Union européenne à des entreprises autres que les banques ;
  • la consolidation des droits des consommateurs avec des mesures telles que : 
    • la réduction de leur responsabilité lors de paiement non autorisé ;
    • l’introduction des remboursements sans justification pour les prélèvements en euros.

Enjeux de la norme DSP2 pour les banques

La directive DSP2 fixe pour priorité la protection du consommateur. Corrélativement, elle régule et encadre l’émergence des nouveaux acteurs de la transaction en ligne. La banque ne constitue plus le seul interlocuteur du commerçant et de son client. Avec DSP2 : 

  • les agrégateurs de comptes proposent un service sécurisé et leur accès aux données est strictement limité ;
  • l’activité des initiateurs de paiements est réglementée ;
  • le système de l’authentification forte s’impose aux établissements bancaires à différentes étapes de la relation à distance ; 
  • le principe d’open banking oblige les banques et les gestionnaires de compte à partager leurs informations avec les prestataires de services de paiement (PSP).

Mise en place de l’authentification forte : mesure phare de la DSP2

Dispositif de l’authentification forte

L’authentification forte vise à accroître la sécurité des paiements en ligne ou à distance et la connexion aux espaces de banque en ligne.

Avant l’entrée en vigueur de la norme DSP2 et pour approuver un achat sur internet, le plus souvent, la banque vous envoyait un code par SMS, à saisir sur le site marchand. Depuis septembre 2019, pour valider vos opérations en ligne, vous devez produire au moins 2 preuves de votre identité, parmi 3 catégories :

  • connaissance ;
  • possession ;
  • inhérence.

La connaissance suppose que vous fournissiez une information que vous seul pouvez détenir : code confidentiel, mot de passe ou autre information personnelle.

La possession renvoie à un objet qui vous appartient et qui peut être identifié par le prestataire de services de paiements : téléphone mobile, objet connecté ou carte bancaire.

L’inhérence se réfère à une caractéristique qui vous est propre : empreinte digitale, reconnaissance faciale, etc.

Concrètement, les banques demandent à leurs clients de télécharger leur application mobile sur leur téléphone portable (élément de possession). Celle-ci intègre le système d’authentification forte dans ses paramètres. Au moment du règlement sur un site de e-commerce, vous recevez une notification vous invitant à vous connecter à votre espace client. Vous validez alors la transaction avec votre mot de passe (élément de connaissance) ou votre empreinte digitale (élément d’inhérence). 

Les grands acteurs bancaires ont dû s’adapter et disposent maintenant d’une solution de sécurité propre à chacun : SécuriPass du Crédit Agricole, Clé digitale de BNP Paribas, Certicode de La Banque Postale, Pass Sécurité de la Société Générale ou encore Sécur’Pass de la Caisse d’Épargne.

Opérations concernées par l’authentification forte

La réglementation DSP2 impose le recours à l’authentification forte dans les cas suivants : 

  • l’accès aux espaces de banque en ligne lors de la première connexion, puis tous les 90 jours ;
  • une transaction en ligne par carte bancaire ou virement, d’un montant supérieur à 30 € ;
  • un paiement sans contact de plus de 50 € ;
  • une opération sensible exécutée à distance, comme l’ajout d’un bénéficiaire de virement sur votre application mobile.

Les commerçants ont la possibilité de bénéficier d’exemptions à la double authentification. Elles sont accordées sur demande auprès de la banque pour : 

  • des abonnements ou dépenses récurrentes (si la première transaction a fait l’objet d’une authentification forte) ;
  • des paiements auprès de sites identifiés comme bénéficiaires de confiance par le client (liste blanche) ;
  • des achats auprès de e-commerçants avec un faible taux de fraude.

Solutions alternatives aux smartphones

Pour les personnes ne possédant pas de smartphone, en France, les établissements se sont engagés à fournir des solutions alternatives pour se conformer à l’exigence d’authentification renforcée de la norme DSP2.

Votre banque peut notamment vous proposer de conserver l’envoi d’un code par SMS. Lors de votre paiement en ligne, vous saisissez le code reçu par SMS sur votre portable (élément de possession), ainsi qu’un code confidentiel communiqué en amont par votre établissement bancaire (élément de connaissance).

Pour les clients qui effectuent leurs achats depuis leur domicile, la banque peut aussi les équiper d’un dispositif physique d’authentification : clé USB, lecteur de QR code, etc.

Open banking : ouverture du marché à de nouveaux acteurs

La norme DSP2 prévoit l’ouverture du marché aux prestataires de services innovants tels que les Fintech (sociétés de technologie financière). Elle contraint les banques à pratiquer l’open banking. Dans ce système, les établissements bancaires doivent partager les informations relatives aux comptes bancaires des clients avec les prestataires de services de paiement tiers. 

Ces échanges doivent s’effectuer par l’intermédiaire d’interfaces sécurisées appelées API (Application Programming Interface). C’est aux banques de les mettre en place dans le respect de la protection et du consentement de l’utilisateur. Les PSP tiers y accèdent dans le cadre de leurs missions d’agrégation des données des comptes bancaires ou d’initiation de paiement.

Dans l’objectif d’accroître toujours plus la sécurité des opérations en ligne, la norme DSP2 offre un cadre juridique aux PSP.

Réglementation applicable aux agrégateurs de comptes selon la DSP2

Un agrégateur est un prestataire de services d’informations sur les comptes (PSIC). Son activité consiste à offrir aux clients une interface regroupant tous leurs comptes de paiement détenus dans différentes banques de l’Espace économique européen.

La norme DSP2 réglemente leur existence et limite les moyens d’accès aux données.

  • Les agrégateurs doivent recevoir un agrément de l’ACPR (Autorité de contrôle prudentiel et de résolution).
  • Ils sont tenus de prendre toutes les mesures de sécurité nécessaires pour garantir la protection des informations personnelles de leurs usagers.
  • L’obtention du consentement du client est obligatoire.
  • L’utilisateur doit procéder à une authentification forte tous les 90 jours pour que l’agrégateur puisse accéder aux comptes de paiement et les mettre à disposition dans l’interface.
  • Le consommateur peut résilier à tout moment les services du PSIC ou demander à sa banque de révoquer les droits du prestataire.

Encadrement juridique de l’activité des initiateurs de paiement 

Les prestataires de services d’initiation de paiement (PSIP) proposent aux utilisateurs d’ordonner un paiement, généralement sous forme de virement, depuis leur compte bancaire sans passer par les espaces de banque en ligne. Il s’agit d’une alternative aux règlements par carte bancaire ou portefeuille électronique.

Dans le cadre de la directive DSP2, un initiateur de paiement doit se conformer à certaines obligations. 

  • Il reçoit un agrément délivré par l’ACPR pour remplir sa mission.
  • Il ne conserve aucunes données sensibles de paiement sous peine de sanction.
  • Il impose une authentification à chaque opération effectuée.
  • Il exerce son activité dans le respect des conditions fixées et avec le consentement explicite du client.

iPaidThat vous permet dorénavant de payer l’ensemble de vos factures en ligne, en un instant.

Paiement par ipaidthat

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Partager