La Commission devrait adopter les normes techniques règlementaires (RTS) finales sur l’authentification forte des clients ainsi qu'une communication commune sécurisée dans le cadre de la directive révisée sur les services de paiements (PSD2) lundi 27 novembre, selon plusieurs sources européennes. Alors que la version finale des RTS n’est toujours pas connue, vendredi 24 novembre, les parties prenantes restaient inquiètes quant à leur contenu.
Comme annoncé dans un article précédent (EUROPE 11907), la Commission envisagerait notamment de maintenir sa « solution de secours » qui, pour rappel, autorise la pratique du 'screenscraping' lorsque l'interface de communication dédiée ('Application Programming Interface' ou API) n’est pas disponible pendant plus de 30 secondes, après cinq tentatives de connexion ou si elle ne respecte pas les obligations applicables aux interfaces. La pratique du ‘screenscraping’ est très critiquée, car elle permet à des prestataires tiers d’accéder aux données du compte bancaire d’un consommateur qui achète un produit en ligne et lui confie son paiement sans avoir obtenu au préalable son consentement.
Dans un communiqué publié à la suite d’une réunion de son Bureau, la Fédération bancaire européenne a réitéré son opposition à cette pratique. « Les décideurs politiques ne devraient pas autoriser le screenscraping même comme solution de repli permettant aux fournisseurs de services tiers d’avoir accès aux donnés des clients, mais plutôt se focaliser sur des solutions entièrement sécurisées », a indiqué l’organisation.
S’exprimant au nom de la Commission européenne lors de la réunion de la commission des affaires économiques et monétaires du PE, mardi 21 novembre, Ralf Jacob, de la direction des Services financiers, a expliqué que, suite aux nombreuses plaintes de l’industrie bancaire, la Commission avait notamment inclu une mesure d’incitation pour les banques. En effet, les banques qui développeraient une API qui fonctionnerait correctement au moins trois mois avant l’application des RTS, pourraient, après évaluation par les autorités nationales compétentes, être exemptées de mettre en place cette « solution de repli ».
Sur le volet ‘authentification forte des clients’ également, les parties prenantes ne sont pas satisfaites. Dans un communiqué du 21 novembre, l’organisation représentant le secteur du commerce en ligne, Ecommerce Europe, a exprimé sa déception quant aux dispositions actuelles. Pour le Bureau européen des unions de consommateurs (BEUC), les RTS contiennent trop d’exceptions qui viennent affaiblir la sécurité du consommateur. (Marion Fontana)