Paiement bancaire : 3 questions majeures suite au report de la DSP2
Elle devait initialement entrer en vigueur à la date du samedi 14 septembre 2019. La DSP2 (deuxième Directive sur les services de paiement) voit finalement son arrivée retardée de dix-huit mois en France. Trois questions majeures font suite à ce décalage.
Pourquoi la mise en vigueur de la DSP2 est-elle décalée ?
« Tout simplement parce que l’industrie n’est pas prête. La DSP2 est une réglementation et initiative européenne. Elle donne la possibilité à chaque pays de pouvoir réguler son calendrier. La date du 14 septembre 2019 est toujours en vigueur. Cette norme rentre donc en vigueur à cette date… Mais la mise en œuvre est jalonnée. Il n’y a pas de pénalité particulière, mais chaque pays doit prouver qu’il a mis en œuvre ce chantier à partir du 14 septembre. »
nous explique Bernard Montel, directeur technique de RSA.
En d’autres termes, la DSP2 est bel et bien entrée en vigueur le samedi 14 septembre 2019 au niveau européen. Face au retard pris par certains pays, dont la France, l’Union Européenne a accordé un délai supplémentaire pour cette mise en conformité.
Loin d’être en avance sur ce dossier, la France n’est pas pour autant l’unique retardataire. Le webmedia L’Usine Digitale précisait ainsi, il y a quelques jours de cela, que 20 pays de l’Union Européenne n’étaient pas dans les clous du délai initial… fixé au 14 septembre 2019.
Pour ce qui est du calendrier, la France – via la Banque de France – a décidé de procéder en deux étapes. Les acteurs agissant sur le marché hexagonal ont ainsi 18 mois (soit jusqu’en mars 2021) pour que la majorité de leurs transactions entrent dans le cadre de la DSP2.
Concernant une conformité totale, un délai de 18 mois supplémentaire a été accordé. Ainsi, à compter du 14 septembre 2022, l’ensemble des acteurs agissant sur le marché français devront être en totale conformité.
Quels changements entre la DSP2 et sa version précédente ?
Jusqu’à présent, c’est le procédé 3D-Secure qui faisait foi sur le territoire français. Depuis le 14 septembre 2019, le DSP2 durcit l’authentification.
Si le fameux SMS de confirmation de commande continuera à faire foi jusqu’en 2022 en France, la directive sur les services de paiement de 2e génération permet un renforcement sécuritaire des transactions bancaires. Cela par l’intermédiaire d’un framework.
« Le DSP2 a pour objectif global de réduire la fraude grâce à un framework global. Il n’y avait pas de framework dans le système précédent. Il s’agissait d’un protocole technique en 3 dimensions (3D Secure) », précise notre interlocuteur.
Comment améliorer cette authentification ? En passant tout simplement d’une authentification à un facteur (confirmation SMS) à une authentification à deux facteurs. « L’authentification forte du client est obligatoire dans la DPS2 », confie Bernard Montel.
Il existe 3 types de facteurs :
- Le facteur connaissance… « Ce que je connais ». C’est-à-dire un code secret, une réponse personnelle (date de naissance…).
- Le facteur possession… « Ce que je possède ». Autrement dit, mon smartphone, ma carte bancaire ou encore ma tablette…
- Et enfin le facteur inhérence… « Ce que je suis ». Cela se résume à une donnée biométrique (empreinte digitale ou rétinienne, reconnaissance faciale ou vocale, etc).
Il s’agit d’un « aspect multicanaux » permis par le framework. « Un deuxième canal doit valider le premier canal », ajoute le directeur technique de RSA.
Dans les faits, l’utilisateur devra ainsi valider 2 facteurs sur 3 pour permettre l’autorisation du paiement. Comme le fait déjà Apple pour son sans contact via smartphone, obligeant à présenter une empreinte digitale… En plus de son smartphone.
À noter qu’il existe cependant certaines dérogations à cette double authentification. Les paiements en ligne de moins de 30 euros échapperont par exemple à la règle.
Qui est concerné par la DSP2 ?
On aurait pu croire que cette nouvelle directive ne concernerait finalement que les seuls établissements bancaires ou autres e-commerces… La DSP2 concerne en réalité l’ensemble de la société.
D’un côté, les e-commerces, les banques, les banques en ligne… Tous sont désormais dans l’obligation de se mettre en conformité avec cette directive. Faute de quoi il ne leur sera plus possible de proposer leurs services en ligne.
De l’autre côté, les utilisateurs de services de paiement en ligne… Ils devront pour leur part changer leurs habitudes. Un exemple parlant plus qu’une théorie, à compter de 2022, le SMS de confirmation sera totalement abandonné. « Le DSP2 va nécessiter un changement de comportement », prévient Bernard Montel.
L’intéressé ne manque pourtant pas de rappeler que le SMS, qui est loin d’être totalement sécurisé « pour des raisons techniques », est de loin l’authentificateur « le plus réputé en France » à l’heure actuelle. Dans moins de trois ans, il ne sera pourtant plus utilisable…
Cela ne signifiera pas pour autant la fin de 3D Secure. Une version 2e génération – sobrement intitulée… « 3D Secure 2 » – est ainsi en cours d’élaboration depuis de nombreux mois.
Une authentification biométrique, sur le modèle d’Apple, fera notamment son apparition. Il sera également possible, à défaut de biométrie, d’une authentification via une connexion à son application bancaire… Comme le fait notamment d’ores et déjà BNP Paribas depuis plusieurs mois avec son système de « clé digitale ».
Eitel Mabouong – Journaliste
Les plus lus…
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…
La Dreal Normandie (Direction régionale de l'environnement, de l'aménagement et du logement) a adressé deux mises en demeure le…
La biométrie, l'IA (intelligence artificielle) ou encore le cloud computing seront les technologies émergentes les plus demandées par les…
Les attaques de phishing ont atteint un niveau de sophistication sans précédent en 2024, marquant une nouvelle ère dans…