L’Apparition de l’authentification forte dans le cadre du projet de directive européenne sur les services de paiement (DSP2)
La Commission Européenne a adopté le 24 Juillet 2013 un paquet législatif contenant une directive sur les services de paiement, dite DSP2, qui modifie les directives 2002/65/CE, 2013/36/UE et 2009/110/CE et abroge la directive 2007/64/CE et un Règlement sur les commissions multilatérales d’interchange. Ces modifications à venir devraient ne pas passer inaperçues pour des prestataires de services de paiement et des établissements bancaires déjà soucieux de l’arrivée prochaine de février 2014.
Ce projet de directive révisée, dont le texte définitif devrait bientôt être publié, facilitera l’utilisation des services de paiement électronique sur l’internet en les rendant moins onéreux et plus sûrs. En effet, les services dits d’initiation de paiement, intervenant entre le commerçant et la banque de l’acheteur, entrent dans le champ d’application de cette directive. Les prestataires de services de paiement sans carte de crédit seront donc désormais soumis aux mêmes normes de réglementation et de surveillance que tous les autres établissements de paiement.
Dans le cadre de ce point d’actualité, le Cabinet se focalisera sur un des points saillants du projet de directive. Ainsi, les banques devraient mettre en place des dispositifs d’authentification forte des clients en vue de garantir une meilleure sécurité des opérations de paiements en ligne. L’authentification forte du client se définit comme « une procédure de validation de l’identification d’une personne physique ou morale reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance, possession et inhérence, qui sont indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification » (projet d’art. 4-22). En outre, le projet d’art. 87 de la directive indique : « 1. Les États membres veillent à ce qu'un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur initie une opération de paiement électronique, sauf dérogation spécifique fondée sur le risque lié au service de paiement fourni, prévue par les orientations de l’ABE. La même obligation s’applique à un prestataire de services de paiement tiers qui initie une opération de paiement au nom du payeur. Lorsqu'un prestataire de services de paiement gestionnaire du compte lui permet de se fonder sur les méthodes d’authentification de ce dernier.
Le principe de remboursement des prélèvements automatiques devient inconditionnel (projet d’article 65), excepté dans le cas où le bien ou service payé a été consommé ou si les pertes sont dues à une négligence de la part de l’utilisateur (projet d’article 66). Dans tous les autres cas, s'il y a contestation il y aura obligatoirement remboursement du prélèvement.
En outre, cette directive révisée offre une meilleure protection des consommateurs contre la fraude en rabaissant le plafond que ceux-ci pourront être tenus d’assumer en cas de paiement non autorisé suite à une perte ou un vol de carte de paiement à 50€, contre 150€ actuellement.
Enfin, notons que cette directive, a un champ d’application étendu par rapport à la directive 2007/64/CE du 13 novembre 2007 du point de vue géographique, puisque qu’en plus de s’appliquer lorsque les prestataires de paiement du payeur et du bénéficiaire sont situés dans l’Union Européenne, le titre III concernant les exigences de transparence s’appliquera dès lors qu’au moins un des prestataires du paiement sera situé dans l’Union Européenne.