L’envoi d’un code par votre banque sur votre téléphone pour confirmer que vous êtes bien l’auteur d’un achat a montré ses limites et a fait preuve d’une sécurisation exsangue. Depuis septembre dernier, les transactions en ligne connaissent des changements notables. En effet, la sécurisation des paiements sur Internet sera drastiquement renforcée par de nouvelles mesures. Ces dernières seront progressivement appliquées et ce jusqu’à fin 2021. Le but de la manœuvre, de l’aveu même de l’Observatoire français de la sécurité des moyens de paiements, étant de juguler les fraudes virtuelles et de sécuriser au maximum les opérations de paiement en ligne dans toute l’Europe.
Voyons plus en détails les nouvelles normes en vigueur et leurs retombées.
Directive DSP2 ou l’authentification forte
Désormais, toutes les opérations bancaires en ligne doivent se plier à un dispositif sécuritaire baptisé « authentification forte« . Cela signifie que cette directive, adoptée dès janvier 2018, s’attache à protéger les consommateurs en déployant un arsenal juridique jusque-là inutilisé. Ainsi, en plus de rendre les transactions électroniques plus sûres, ladite directive vise à encourager la compétitivité des services de paiement en ligne et de donner un coup de pouce aux startups en herbe. De plus, c’est la banque qui prend en charge la responsabilité et la faisabilité de l’authentification et non les commerçants eux-mêmes.
Quels changements pour les consommateurs ?
Les changements mis au point étaient effectifs depuis le 14 septembre dernier. La simple confirmation d’un code envoyé par SMS n’est plus suffisante pour lutter contre les fraudes en ligne. C’est la raison pour laquelle d’autres solutions plus sécurisantes seront graduellement appliquées. Il sera, par exemple, question d’une reconnaissance biométrique ou d’une connexion à l’application mobile. Aussi, pour accéder au compte bancaire, il faut obligatoirement observer cette authentification forte qui s’étalera à chaque fois sur une durée de 90 jours.
Cependant, l’authentification renforcée ne sera pas appliquée à toutes les transactions en ligne. Certaines opérations ne sont pas concernées comme tout achat sur Internet dont le tarif est inférieur à 30 euros. Il en va de même pour les virements effectués d’un compte à un autre appartenant tous les deux à la même personne.
Quels changements pour les professionnels ?
Les modifications concernent en l’occurrence principalement les établissements bancaires, les opérateurs techniques ainsi que les commerçants. Des connexions doivent être établies entre eux et les clients au travers d’un dispositif de sécurité renforcé : 3-D Secure. Un passage obligé pour qu’une transaction soit validée.
Il s’agit là, à en croire le directeur général de la Fevad, d’un chantier titanesque dans la mesure où, rien que dans le seul Hexagone, plus de 38 millions de Français seront touchés. Pour mesurer l’importance du projet, il suffit de penser qu’il y a près de 50 commandes qui sont traitées toutes les secondes. L’enjeu ici est grand en ce sens qu’il faut parvenir à concilier la lutte renforcée contre les fraudes tout en veillant à l’ordonnancement méthodique du commerce en ligne sans perturber sa croissance et son développement. Mais la fédération susmentionnée se veut rassurante en déclarant que tous les organismes banquiers du e-commerce français sont prêts à jouer le jeu et prendre les mesures nécessaires pour appliquer les nouvelles lois.
Quand adopter les nouvelles mesures ?
L’Autorité Bancaire Européenne (ABE) a prévu l’application des directives relevant de la DSP2 à partir du 14 septembre 2019. Voyons pour l’heure où on en est :
- Tous les Etats membres de l’UE ne sont pas prêts à adopter les nouvelles modifications comme le Royaume-Uni. Consciente de la lourde tâche qui incombe aux banques en ligne, l’ABE a décidé de prolonger les délais d’une durée limitée, le temps que tous les membres les adopte.
- En France, selon l’Observatoire de la sécurité des moyens de paiements, tout sera fait pour que 70% des transactions en ligne soient conformes à l’authentification forte d’ici fin 2020.
- Mais devant la difficulté de cette gigantesque entreprise, un délai supplémentaire d’un an et demi maximum sera octroyé aux organismes pour faire bénéficier les cas isolés des nouvelles exigences. Seront concernées ici les personnes âgées, peu initiées aux nouvelles technologies, les individus aux faibles ressources financières, les expatriés, etc.
- En tout cas, d‘ici mars 2021, tous les professionnels doivent se débrouiller pour mettre en place les nouvelles directives.
Comment appliquer la Directive DSP2 ?
Comme nous l’avons esquissé plus haut, le déclenchement de la procédure de l’authentification forte n’est pas systématique et ne concernera pas forcément toutes les transactions. En effet, cette décision revient d’abord aux e-commerçants et non aux acheteurs eux-mêmes. Puis, un classement des consommateurs en ligne sera effectué selon leur fiabilité ; ils sont automatiquement catégorisés « fiable, peu fiable, inconnu, etc.). C’est évidemment en vertu de ce classement que la banque choisit ou non de déclencher l’authentification renforcée. En d’autres termes, plus un cyberconsommateur aura l’habitude d’effectuer ses achats sur un site en ligne, moins la banque sollicitera la Directive DSP2 puisqu’il sera classé « connu ». A l’inverse, moins un acheteur sera reconnu par un site, plus la banque fera appel à l’authentification forte. Cette démarche vise à éviter la saturation des e-commerces tout en enrayant les tentatives de fraude.
S’agissant des délais d’application, s’il est admis qu’un prolongement est opéré jusqu’à mars 2021, cela ne veut pas dire qu’il faille procrastiner jusqu’à cette date butoir. L’application sera fera en deux temps : dans un premier temps, d’ici mars 2020, les détaillants sont invités à se rapprocher de leur organisme banquier afin de s’enquérir des informations requises pour effectuer le classement des e-consommateurs (numéro de téléphone, adresse de livraison, etc).
Dans un second temps, l’étape ultime se déroulera entre mars 2020 et mars 2021. Au cours de ce laps de temps, les commerçants en ligne et leurs prestataires sont obligatoirement tenus de mettre au point leur plateforme avec l’exigence qu’elle soit conforme au nouveau système en vigueur. Lorsqu’on s’approchera de la date limite, tous les e-commerçants n’ayant pas fait le nécessaire pour se conformer aux nouvelles mesures ne seront plus aptes à vendre en ligne.