Paie­ment en ligne et sur mo­bile : le compte est bon

De­puis le 13 jan­vier 2018, la di­rec­tive eu­ro­péenne sur les ser­vices de paie­ment – dite DSP2 – est en vi­gueur. C'est une étape dé­ci­sive pour le mar­ché unique nu­mé­rique : don­ner ac­cès aux in­for­ma­tions des comptes ban­caires, afin d'ou­vrir à la concur­rence le

Edition Multimédi@ - - La Une - Charles de Lau­bier

« Cet acte lé­gis­la­tif consti­tue une nou­velle étape dans la créa­tion d’un mar­ché unique nu­mé­rique dans l’union eu­ro­péenne ( UE). Il en­cou­ra­ge­ra le dé­ve­lop­pe­ment de sys­tèmes de paie­ment en ligne et mo­biles in­no­vants, ce qui sti­mu­le­ra l’éco­no­mie et la crois­sance. Avec l’en­trée en ap­pli­ca­tion de la DSP2, la sur­fac­tu­ra­tion ap­pli­quée aux cartes de dé­bit et de cré­dit des consom­ma­teurs de­vient in­ter­dite. Les consom­ma­teurs de L’UE pour­raient ain­si éco­no­mi­ser plus de 550 mil­lions d’eu­ros par an ( 1). Ils bé­né­fi­cie­ront aus­si d’une pro­tec­tion ac­crue lors­qu’ils ef­fec­tuent des paie­ments » , a dé­cla­ré Val­dis Dom­brovs­kis ( photo), vice- pré­sident de la Com­mis­sion eu­ro­péenne, en charge de la sta­bi­li­té fi­nan­cière, des ser­vices fi­nan­ciers et de l’union des mar­chés des ca­pi­taux. Tout est dit.

Deux « fin­tech » : PSP tiers ou PSIP

Au mo­ment où se tient à Pa­ris le « Fin­tech Fo­rum » , les 30 et 31 jan­vier 2018 au Pa­lais Bron­gniart, les nou­velles règles de l’open ban­king édic­tées par cette di­rec­tive eu­ro­péenne sur les ser­vices de paie­ment – dite DSP2 ( pour deuxième di­rec­tive sur les ser­vices de paie­ment ou, en an­glais, PSD2 pour Pay­ment Ser­vices Di­rec­tive) – ar­rivent pour mettre de l’ordre dans ce nou­vel el­do­ra­do de la « fin­tech » , mar­ché né à la croi­sée des che­mins entre la fi­nance et la tech­no­lo­gie. Con­crè­te­ment, ces règles per­met­tront d’élar­gir et d’amé­lio­rer le choix sur le mar­ché des consom­ma­teurs des paie­ments de dé­tail unique nu­mé­rique de L’UE, tout en ins­tau­rant des normes de sé­cu­ri­té plus strictes pour les paie­ments en ligne pour ren­for­cer la confiance des consom­ma­teurs dans le e- com­merce. Avec la DSP2, c’est la consé­cra­tion des so­cié­tés de tech­no­lo­gie fi­nan­cière que sont les start- up de la « fin­tech » , mais aus­si une voie royale pour les GAFA amé­ri­cains et les BATX chi­nois ( lire p. 4). Apple ne pro­pose- t- il pas son propre sys­tème de paie­ment mo­bile ? Fa­ce­book ne per­met- il pas le trans­fert d’argent via sa mes­sa­ge­rie Mes­sen­ger ? Tencent est un in­con­tour­nable du paie­ment mo­bile via We­chat. Tan­dis que les opé­ra­teurs té­lé­coms, à l’ins­tar d’orange Bank, sont ten­tés de jouer eux aus­si les ban­quiers. Ces nou­veaux en­trants sur le mar­ché du paie­ment en ligne sont aus­si ap­pe­lés « pres­ta­taires de ser­vices de paie­ment tiers » ( PSP tiers), tels que Ban­kin’ ( 2), Lin­xo ou Ly­dia en France, les­quels sont : soit des pres­ta­taires de ser­vices d’ini­tia­tion de paie­ment ( PSIP), qui offrent d’ini­tier les paie­ments pour le compte de clients ( don­nant ain­si l’as­su­rance aux dé­taillants que l’argent est en route), soit des agré­ga­teurs et pres­ta­taires de ser­vices d’in­for­ma­tion sur les comptes ( PSIC), qui four­nissent à leurs clients une vue d’en­semble des comptes et soldes dis­po­nibles. Les consom­ma­teurs et les en­tre­prises en Eu­rope se­ront dé­sor­mais en me­sure d’au­to­ri­ser l’ac­cès à leurs don­nées de paie­ment à des PSP tiers, les­quels peuvent être des « fin­tech » , mais aus­si d’autres banques. « Les PSP tiers ne pour­ront pas ac­cé­der à des don­nées du compte de paie­ment autres que celles ayant fait l’ob­jet d’une au­to­ri­sa­tion ex­presse du client » , pré­vient ce­pen­dant la Com­mis­sion eu­ro­péenne ( 3). De plus, les ti­tu­laires de compte peuvent exer­cer un contrôle sur la trans­mis­sion de leurs don­nées à ca­rac­tère per­son­nel aus­si bien au titre de la DSP2 qu’au titre du rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées ( RGPD) ap­pli­cable à par­tir du 25 mai 2018. Mais pour que l’open ban­king se passe dans de meilleures condi­tions, la di­rec­tive « fin­tech » ha­bi­lite l’exé­cu­tif eu­ro­péen à adop­ter des normes tech­niques de ré­gle­men­ta­tion sur la base d’un pro­jet pré­sen­té par l’au­to­ri­té ban­caire eu­ro­péenne ( ABE), la­quelle va quit­ter Londres pour s’ins­tal­ler à Pa­ris, dans le but d’as­su­rer la pro­tec­tion des consom­ma­teurs par la sé­cu­ri­té des paie­ments élec­tro­niques et de ga­ran­tir des condi­tions de concur­rence équi­tables dans un mar­ché en mu­ta­tion ra­pide. « Ces normes dé­fi­nissent les exi­gences à rem­plir pour per­mettre une “au­then­ti­fi­ca­tion forte” des clients et pré­cisent les cas dans les­quels les pres­ta­taires de ser­vices de paie­ment peuvent être dis­pen­sés de cette au­then­ti­fi­ca­tion » , pré­cise la Com­mis­sion eu­ro­péenne. Lors de l’uti­li­sa­tion de leurs ser­vices de banque en ligne ou lors­qu’ils fe­ront des achats en ligne, que ce­la soit dans l’achat de biens et ser­vices, ou lors de la consom­ma­tion de conte­nus et mé­dias, les Eu­ro­péens se­ront mieux pro­té­gés lors­qu’ils ef­fec­tuent des paie­ments ou des tran­sac­tions élec­tro­niques.

Im­po­ser l’ « au­then­ti­fi­ca­tion forte »

« Les normes tech­niques de ré­gle­men­ta­tion font de l’au­then­ti­fi­ca­tion forte la condi­tion de base pour que le client puisse ac­cé­der à son compte de paie­ment ou ef­fec­tuer des paie­ments en ligne » , sou­ligne l’exé­cu­tif eu­ro­péen. Ce­la sup­pose que, pour prou­ver son iden­ti­té, l’uti­li­sa­teur ré­ponde à au moins deux des trois condi­tions

sui­vantes : connaître un cer­tain mot de passe ou code PIN ; être en pos­ses­sion d’une cer­taine carte ou d’un cer­tain té­lé­phone mo­bile ; et pré­sen­ter cer­taines ca­rac­té­ris­tiques bio­mé­triques ( em­preintes di­gi­tales ou scan de l’iris, par exemple). Pour l’heure, lors­qu’il s’agit d’opé­ra­tions de paie­ment élec­tro­nique à dis­tance telles que le paie­ment par carte ou le vi­re­ment de­puis une banque en ligne, l’au­then­ti­fi­ca­tion forte du client n’est ap­pli­quée que dans cer­tains pays de L’UE – dont la Bel­gique, les Pays- Bas et la Suède. Tan­dis que dans d’autres pays eu­ro­péens, cer­tains pres­ta­taires de ser­vices de paie­ment l’ap­pliquent sur une base vo­lon­taire. Alors que dans un ma­ga­sin phy­sique, en re­vanche, un client doit va­li­der l’opé­ra­tion en sai­sis­sant son code PIN sur un lec­teur de carte lors­qu’il paie avec sa carte ban­caire. Deux poids, deux me­sures. L’au­then­ti­fi­ca­tion forte existe dans la vraie vie mais pas dans le monde vir­tuel.

Eva­luer l’am­pleur du risque de fraude

Avec la DSP2, l’au­then­ti­fi­ca­tion forte de­vient obli­ga­toire pour l’ac­cès du client à son compte de paie­ment et pour ses opé­ra­tions de paie­ment en ligne. Ce qui sup­pose que les banques et les autres pres­ta­taires de ser­vices de paie­ment mettent en place non seu­le­ment les in­fra­struc­tures né­ces­saires à l’au­then­ti­fi­ca­tion forte, mais aus­si des solutions pour amé­lio­rer la ges­tion des fraudes. Des dé­ro­ga­tions à l’au­then­ti­fi­ca­tion forte pour­ront être ac­cor­dées pour les paie­ments à dis­tance : l’une concerne par exemple l’ana­lyse des risques liés à l’opé­ra­tion et l’autre les paie­ments de faible va­leur ( moins de 30 eu­ros). Mais il y a dé­ro­ga­tion à condi­tion qu’il y ait d’autres mé­ca­nismes d’au­then­ti­fi­ca­tion tout aus­si sûrs et sé­cu­ri­sés et de sui­vi des opé­ra­tions afin d’éva­luer l’am­pleur du risque de fraude. « En cas d’opé­ra­tion de paie­ment frau­du­leuse, le consom­ma­teur pour­ra pré­tendre à un rem­bour­se­ment in­té­gral » , pré­vient la Com­mis­sion eu­ro­péenne. Si la DSP2 est ap­pli­cable de­puis le 13 jan­vier 2018, il n’en va ce­pen­dant pas de même pour les me­sures de sé­cu­ri­té dé­crites dans les normes tech­niques de ré­gle­men­ta­tion, qui de­vien­dront ap­pli­cables dix- huit mois après la date d’en­trée en vi­gueur de ces normes éla­bo­rées par L’ABE. Ce texte pré­voit no­tam­ment en an­nexe des taux de ré­fé­rence en ma­tière de fraude en fonc­tion de chaque type d’opé­ra­tion de paie­ment à dis­tance. « Le pres­ta­taire de ser­vices de paie­ment veille à ce que les taux de fraude glo­baux liés tant aux opé­ra­tions de paie­ment au­then­ti­fiées par une au­then­ti­fi­ca­tion forte du client qu’à celles ef­fec­tuées au titre des dé­ro­ga­tions (…) soient équi­va­lents ou in­fé­rieurs au taux de ré­fé­rence en ma­tière de fraude lié au même type d’opé­ra­tion de paie­ment qui est men­tion­né dans le ta­bleau fi­gu­rant en an­nexe ( 4) » , in­dique l’ar­ticle 19 du pro­jet de rè­gle­ment « ABE » . Or, ce « rè­gle­ment dé­lé­gué de la Com­mis­sion eu­ro­péenne com­plé­tant la di­rec­tive 2015/ 2366 par des normes tech­niques de ré­gle­men­ta­tion re­la­tives à l’au­then­ti­fi­ca­tion forte du client et à des normes ou­vertes com­munes et sé­cu­ri­sées de com­mu­ni­ca­tion » ( 5) n’est pas en­core en­tré en vi­gueur ( c’est- à- dire après leur pu­bli­ca­tion au Jour­nal of­fi­ciel de l’union eu­ro­péenne). Il est ac­tuel­le­ment sou­mis au Par­le­ment eu­ro­péen et du Conseil de L’UE. Ces deux ans en­vi­ron doivent per­mettre aux pres­ta­taires de ser­vices de paie­ment, no­tam­ment aux banques, d’avoir suf­fi­sam­ment de temps pour adap­ter leur sys­tème de sé­cu­ri­té ( 6) aux exi­gences ac­crues de sé­cu­ri­té dé­fi­nies par la DSP2. Il s’agit aus­si pour la Com­mis­sion eu­ro­péenne de ne pas per­tur­ber le com­merce élec­tro­nique sur le Vieux Conti­nent. Ce­pen­dant, si la DSP2 et les normes tech­niques concernent les pres­ta­taires de ser­vices de paie­ment, dont les banques des consom­ma­teurs et celles des com­mer­çants, il n’en va pas de même des com­mer­çants eux- mêmes qui n’entrent pas dans le champ d’ap­pli­ca­tion des normes. « Il ap­par­tien­dra aux com­mer­çants et à leurs pres­ta­taires de ser­vices de paie­ment de s’en­tendre sur la ma­nière d’at­teindre l’ob­jec­tif de ré­duc­tion de la fraude » , pré­cise l’exé­cu­tif eu­ro­péen. Quant aux banques, elles de­vront mettre en place d’ici à sep­tembre 2019 un « ca­nal de com­mu­ni­ca­tion » qui per­met­tra, d’une part, aux PSP tiers d’ac­cé­der aux don­nées de clients dont ils ont be­soin, et, d’autre part, aux banques et aux PSP tiers de s’iden­ti­fier ré­ci­pro­que­ment et de com­mu­ni­quer à tout mo­ment par une mes­sa­ge­rie sé­cu­ri­sée. Cette Ap­pli­ca­tion Pro­gram­ming In­ter­face ( API) doit bé­né­fi­cier d’une sau­ve­garde d’ur­gence et un mé­ca­nisme de se­cours afin « d’as­su­rer la conti­nui­té du ser­vice ain­si qu’une concur­rence loyale sur ce mar­ché » . Comme la DSP2 pré­voit que les clients de­vront consen­tir à l’ac­cès, à l’uti­li­sa­tion et au trai­te­ment de ses don­nées, il ne se­ra plus per­mis d’ac­cé­der aux don­nées du client par le re­cours aux tech­niques dites de « screen scra­ping » ou « web scra­ping » ( cap­ture de don­nées d’écran), qui consistent à ac­cé­der aux don­nées via l’in­ter­face client avec uti­li­sa­tion des don­nées de sé­cu­ri­té du client ( 7). Ce qui re­ve­nait à si­phon­ner les don­nées du client !

Fu­tur « groupe de mar­ché » pour les API

Toutes les API fe­ront l’ob­jet d’un es­sai de pro­to­type de trois mois et d’un es­sai dans les condi­tions réelles du mar­ché, de trois mois éga­le­ment, et ne de­vront « pas créer d’obs­tacles à la four­ni­ture des ser­vices d’ini­tia­tion de paie­ment et des ser­vices d’in­for­ma­tion sur les comptes » . Pour exa­mi­ner la qua­li­té des API, la Com­mis­sion eu­ro­péenne pro­meut la créa­tion d’un groupe de mar­ché com­po­sé de re­pré­sen­tants des banques, des pres­ta­taires de ser­vices d’ini­tia­tion de paie­ment et de ser­vices d’in­for­ma­tion sur les comptes, et des uti­li­sa­teurs de ser­vices de paie­ment. @

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.