Paiement bancaire : 3 questions majeures suite au report de la DSP2
Elle devait initialement entrer en vigueur à la date du samedi 14 septembre 2019. La DSP2 (deuxième Directive sur les services de paiement) voit finalement son arrivée retardée de dix-huit mois en France. Trois questions majeures font suite à ce décalage.
Pourquoi la mise en vigueur de la DSP2 est-elle décalée ?
« Tout simplement parce que l’industrie n’est pas prête. La DSP2 est une réglementation et initiative européenne. Elle donne la possibilité à chaque pays de pouvoir réguler son calendrier. La date du 14 septembre 2019 est toujours en vigueur. Cette norme rentre donc en vigueur à cette date… Mais la mise en œuvre est jalonnée. Il n’y a pas de pénalité particulière, mais chaque pays doit prouver qu’il a mis en œuvre ce chantier à partir du 14 septembre. »
nous explique Bernard Montel, directeur technique de RSA.
En d’autres termes, la DSP2 est bel et bien entrée en vigueur le samedi 14 septembre 2019 au niveau européen. Face au retard pris par certains pays, dont la France, l’Union Européenne a accordé un délai supplémentaire pour cette mise en conformité.
Loin d’être en avance sur ce dossier, la France n’est pas pour autant l’unique retardataire. Le webmedia L’Usine Digitale précisait ainsi, il y a quelques jours de cela, que 20 pays de l’Union Européenne n’étaient pas dans les clous du délai initial… fixé au 14 septembre 2019.
Pour ce qui est du calendrier, la France – via la Banque de France – a décidé de procéder en deux étapes. Les acteurs agissant sur le marché hexagonal ont ainsi 18 mois (soit jusqu’en mars 2021) pour que la majorité de leurs transactions entrent dans le cadre de la DSP2.
Concernant une conformité totale, un délai de 18 mois supplémentaire a été accordé. Ainsi, à compter du 14 septembre 2022, l’ensemble des acteurs agissant sur le marché français devront être en totale conformité.
Quels changements entre la DSP2 et sa version précédente ?
Jusqu’à présent, c’est le procédé 3D-Secure qui faisait foi sur le territoire français. Depuis le 14 septembre 2019, le DSP2 durcit l’authentification.
Si le fameux SMS de confirmation de commande continuera à faire foi jusqu’en 2022 en France, la directive sur les services de paiement de 2e génération permet un renforcement sécuritaire des transactions bancaires. Cela par l’intermédiaire d’un framework.
« Le DSP2 a pour objectif global de réduire la fraude grâce à un framework global. Il n’y avait pas de framework dans le système précédent. Il s’agissait d’un protocole technique en 3 dimensions (3D Secure) », précise notre interlocuteur.
Comment améliorer cette authentification ? En passant tout simplement d’une authentification à un facteur (confirmation SMS) à une authentification à deux facteurs. « L’authentification forte du client est obligatoire dans la DPS2 », confie Bernard Montel.
Il existe 3 types de facteurs :
- Le facteur connaissance… « Ce que je connais ». C’est-à-dire un code secret, une réponse personnelle (date de naissance…).
- Le facteur possession… « Ce que je possède ». Autrement dit, mon smartphone, ma carte bancaire ou encore ma tablette…
- Et enfin le facteur inhérence… « Ce que je suis ». Cela se résume à une donnée biométrique (empreinte digitale ou rétinienne, reconnaissance faciale ou vocale, etc).
Il s’agit d’un « aspect multicanaux » permis par le framework. « Un deuxième canal doit valider le premier canal », ajoute le directeur technique de RSA.
Dans les faits, l’utilisateur devra ainsi valider 2 facteurs sur 3 pour permettre l’autorisation du paiement. Comme le fait déjà Apple pour son sans contact via smartphone, obligeant à présenter une empreinte digitale… En plus de son smartphone.
À noter qu’il existe cependant certaines dérogations à cette double authentification. Les paiements en ligne de moins de 30 euros échapperont par exemple à la règle.
Qui est concerné par la DSP2 ?
On aurait pu croire que cette nouvelle directive ne concernerait finalement que les seuls établissements bancaires ou autres e-commerces… La DSP2 concerne en réalité l’ensemble de la société.
D’un côté, les e-commerces, les banques, les banques en ligne… Tous sont désormais dans l’obligation de se mettre en conformité avec cette directive. Faute de quoi il ne leur sera plus possible de proposer leurs services en ligne.
De l’autre côté, les utilisateurs de services de paiement en ligne… Ils devront pour leur part changer leurs habitudes. Un exemple parlant plus qu’une théorie, à compter de 2022, le SMS de confirmation sera totalement abandonné. « Le DSP2 va nécessiter un changement de comportement », prévient Bernard Montel.
L’intéressé ne manque pourtant pas de rappeler que le SMS, qui est loin d’être totalement sécurisé « pour des raisons techniques », est de loin l’authentificateur « le plus réputé en France » à l’heure actuelle. Dans moins de trois ans, il ne sera pourtant plus utilisable…
Cela ne signifiera pas pour autant la fin de 3D Secure. Une version 2e génération – sobrement intitulée… « 3D Secure 2 » – est ainsi en cours d’élaboration depuis de nombreux mois.
Une authentification biométrique, sur le modèle d’Apple, fera notamment son apparition. Il sera également possible, à défaut de biométrie, d’une authentification via une connexion à son application bancaire… Comme le fait notamment d’ores et déjà BNP Paribas depuis plusieurs mois avec son système de « clé digitale ».
Eitel Mabouong – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…