Paiement bancaire : 3 questions majeures suite au report de la DSP2
Elle devait initialement entrer en vigueur à la date du samedi 14 septembre 2019. La DSP2 (deuxième Directive sur les services de paiement) voit finalement son arrivée retardée de dix-huit mois en France. Trois questions majeures font suite à ce décalage.
Pourquoi la mise en vigueur de la DSP2 est-elle décalée ?
« Tout simplement parce que l’industrie n’est pas prête. La DSP2 est une réglementation et initiative européenne. Elle donne la possibilité à chaque pays de pouvoir réguler son calendrier. La date du 14 septembre 2019 est toujours en vigueur. Cette norme rentre donc en vigueur à cette date… Mais la mise en œuvre est jalonnée. Il n’y a pas de pénalité particulière, mais chaque pays doit prouver qu’il a mis en œuvre ce chantier à partir du 14 septembre », nous explique Bernard Montel, directeur technique de RSA.
En d’autres termes, la DSP2 est bel et bien entrée en vigueur le samedi 14 septembre 2019 au niveau européen. Face au retard pris par certains pays, dont la France, l’Union Européenne a accordé un délai supplémentaire pour cette mise en conformité.
Loin d’être en avance sur ce dossier, la France n’est pas pour autant l’unique retardataire. Le webmedia L’Usine Digitale précisait ainsi, il y a quelques jours de cela, que 20 pays de l’Union Européenne n’étaient pas dans les clous du délai initial… fixé au 14 septembre 2019.
Pour ce qui est du calendrier, la France – via la Banque de France – a décidé de procéder en deux étapes. Les acteurs agissant sur le marché hexagonal ont ainsi 18 mois (soit jusqu’en mars 2021) pour que la majorité de leurs transactions entrent dans le cadre de la DSP2.
Concernant une conformité totale, un délai de 18 mois supplémentaire a été accordé. Ainsi, à compter du 14 septembre 2022, l’ensemble des acteurs agissant sur le marché français devront être en totale conformité.
Quels changements entre la DSP2 et sa version précédente ?
Jusqu’à présent, c’est le procédé 3D-Secure qui faisait foi sur le territoire français. Depuis le 14 septembre 2019, le DSP2 durcit l’authentification.
Si le fameux SMS de confirmation de commande continuera à faire foi jusqu’en 2022 en France, la directive sur les services de paiement de 2e génération permet un renforcement sécuritaire des transactions bancaires. Cela par l’intermédiaire d’un framework.
« Le DSP2 a pour objectif global de réduire la fraude grâce à un framework global. Il n’y avait pas de framework dans le système précédent. Il s’agissait d’un protocole technique en 3 dimensions (3D Secure) », précise notre interlocuteur.
Comment améliorer cette authentification ? En passant tout simplement d’une authentification à un facteur (confirmation SMS) à une authentification à deux facteurs. « L’authentification forte du client est obligatoire dans la DPS2 », confie Bernard Montel.
Il existe 3 types de facteurs :
- Le facteur connaissance… « Ce que je connais ». C’est-à-dire un code secret, une réponse personnelle (date de naissance…).
- Le facteur possession… « Ce que je possède ». Autrement dit, mon smartphone, ma carte bancaire ou encore ma tablette…
- Et enfin le facteur inhérence… « Ce que je suis ». Cela se résume à une donnée biométrique (empreinte digitale ou rétinienne, reconnaissance faciale ou vocale, etc).
Il s’agit d’un « aspect multicanaux » permis par le framework. « Un deuxième canal doit valider le premier canal », ajoute le directeur technique de RSA.
Dans les faits, l’utilisateur devra ainsi valider 2 facteurs sur 3 pour permettre l’autorisation du paiement. Comme le fait déjà Apple pour son sans contact via smartphone, obligeant à présenter une empreinte digitale… En plus de son smartphone.
À noter qu’il existe cependant certaines dérogations à cette double authentification. Les paiements en ligne de moins de 30 euros échapperont par exemple à la règle.
Qui est concerné par la DSP2 ?
On aurait pu croire que cette nouvelle directive ne concernerait finalement que les seuls établissements bancaires ou autres e-commerces… La DSP2 concerne en réalité l’ensemble de la société.
D’un côté, les e-commerces, les banques, les banques en ligne… Tous sont désormais dans l’obligation de se mettre en conformité avec cette directive. Faute de quoi il ne leur sera plus possible de proposer leurs services en ligne.
De l’autre côté, les utilisateurs de services de paiement en ligne… Ils devront pour leur part changer leurs habitudes. Un exemple parlant plus qu’une théorie, à compter de 2022, le SMS de confirmation sera totalement abandonné. « Le DSP2 va nécessiter un changement de comportement », prévient Bernard Montel.
L’intéressé ne manque pourtant pas de rappeler que le SMS, qui est loin d’être totalement sécurisé « pour des raisons techniques », est de loin l’authentificateur « le plus réputé en France » à l’heure actuelle. Dans moins de trois ans, il ne sera pourtant plus utilisable…
Cela ne signifiera pas pour autant la fin de 3D Secure. Une version 2e génération – sobrement intitulée… « 3D Secure 2 » – est ainsi en cours d’élaboration depuis de nombreux mois.
Une authentification biométrique, sur le modèle d’Apple, fera notamment son apparition. Il sera également possible, à défaut de biométrie, d’une authentification via une connexion à son application bancaire… Comme le fait notamment d’ores et déjà BNP Paribas depuis plusieurs mois avec son système de « clé digitale ».
Eitel Mabouong
Journaliste
Les plus lus…
Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Commandez la version papier du magazine Face au Risque pour un confort de lecture optimal. N.B. Les frais de port sont de 7,50 € TTC, quel que soit le nombre de magazines commandés.Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Cette version du magazine numérique vous est proposée en consultation de type "flipbook" (tourné de page, zoom). Chaque numéro acheté sera consultable à partir de l'onglet "Mes magazines numériques" présent dans votre compte. N.B. Un flipbook n'est pas un fichier PDF téléchargeable.En 2024, se tiendra un nombre inédit de scrutins et près de la moitié de la population mondiale sera…
La solution française de coffre-fort numérique Lockself a publié le 30 avril 2024 la première édition de son baromètre…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…