Source d’angoisse pour les commerçants, casse-tête pour les prestataires de services, contrainte technique pour les banques… La directive européenne sur « l’authentification forte » ne sera finalement pas à appliquer d’ici le 14 septembre 2019. Selon les Echos, les autorités européennes ont lâché du lest en permettant « exceptionnellement » de reculer la date butoir d’application. La Banque de France, avec l’accord de l’Autorité bancaire européenne (ABE), a rallongé de trois ans le délai d’application.
Du répit jusqu’en 2022
C’est une victoire pour les acteurs du secteur bancaire, qui militaient pour augmenter le temps d’adaptation à ces nouvelles règles. Une lettre rédigée par la fédération bancaire européenne adressée à la Commission Européenne (CE) et au régulateur bancaire communautaire, exigeant un délai supplémentaire pour s’adapter à cette nouvelle réglementation, a été publiée par le Financial Times en juin 2019.
L’application de la directive DSP2 [PDF] implique la mise en place d’une authentification à deux facteurs d’authentification parmi trois catégories : quelque chose que l’on sait (code ou mot de passe), quelque chose que l’on possède (un appareil) et quelque chose que l’on est (donnée biométrique) pour valider les achats électroniques supérieurs à 30 euros.
L’objectif de la directive est de renforcer et d’harmoniser le niveau de sécurité des paiements en ligne sur le marché unique. En France, la méthode actuellement utilisée est l’envoi d’un code à usage unique par sms, connue sous le nom de « 3D Secure », après avoir entré ses coordonnées bancaires. Cette méthode a fait ses preuves puisque l’Observatoire des moyens de paiement (OSMP) rapporte que le taux de fraude des transactions authentifiées est inférieur à celui des paiements non certifiés : 0,07% contre 0,21% en 2018 [PDF].
7 mois n’ont pas suffi
En 2022, les acteurs du secteur bancaire devront donc proposer de nouvelles technologies pour garantir le niveau de sécurité voulu par l’Union Européenne. Pour un achat de 35 euros, l’acheteur devra par exemple taper un code mais aussi, par exemple, passer par la reconnaissance faciale. Le niveau de contrainte est donc élevé, notamment pour les e-commerçants.
Quatre autres pays membres ont également repoussé la date de mise en application de « l’authentification forte ». L’autorité financière britannique a fixé l’entrée en vigueur de la SCA à mars 2020 pour la connexion aux services en ligne et à un an après pour les achats en ligne. Côté allemand, le régulateur a confirmé avoir obtenu également un délai –sans pour l’instant en avoir précisé la durée.
Votée en janvier 2018, la directive DSP2 a pourtant été transposée dans le droit français l’été suivant. Le texte a fait l’objet d’une bataille houleuse entre la Commission, l’ABE et les acteurs de la FinTech (banques et start-up). L’exécutif européen avait pourtant accordé en mars 2018 un premier sursis jusqu’en septembre pour l’application des dispositions révisées de « l’authentification forte » [PDF]. Les autres volets de la DSP2 ont, eux, déjà été mis en place.
Source : Les Echos
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
