Comme annoncé dans un article précédent (EUROPE 11912), la Commission européenne a adopté, lundi 27 novembre, le projet final de normes techniques règlementaires (RTS) sur l’authentification forte des clients ainsi qu'une communication commune sécurisée dans le cadre de la directive révisée sur les services de paiements (PSD2).
Dans un document accompagnant le texte final, la Commission a indiqué n’avoir apporté que « quelques modifications de fond limitées » au projet élaboré par l’Autorité bancaire européenne (ABE) en février 2017, afin de « mieux refléter le mandat de la directive PSD2 ».
Authentification forte des clients. Concrètement, ce qui changera à partir de l’application de ces normes est que, dans la plupart des cas, le simple fait d'introduire ou de communiquer les données indiquées sur une carte de crédit ne suffira plus pour effectuer un paiement.
Pour les transactions au-dessus de 50 €, une combinaison d'au moins deux éléments indépendants sera nécessaire avant de pouvoir effectuer un paiement. Il pourra par exemple s’agir d'un objet physique (une carte ou un téléphone mobile) combiné avec un mot de passe ou un élément biométrique, comme les empreintes digitales.
Les prestataires de services de paiement pourront néanmoins être exemptés s'ils ont mis au point des moyens d'évaluer les risques pour les transactions, notamment pour les paiements d’entreprises effectués par lot. Des exemptions sont également prévues pour les paiements sans contact, les virements réguliers, les transactions de petits montants (moins de 30 €), ainsi que pour certains types de paiements, tels que les frais de transport ou de stationnement.
Communication commune et sécurisée. Afin que les consommateurs puissent avoir recours aux nouveaux services innovants de paiement, les banques sont tenues de mettre en place des canaux de communication sécurisés pour transmettre les données et initier les paiements, après autorisation du client. Pour ce faire, les banques ont le choix entre de deux options : adapter leur interface bancaire en ligne ou créer une nouvelle interface dédiée qui inclura toutes les informations nécessaires pour les fournisseurs de services de paiement.
Les RTS prévoient également la mise en place de mesures d'urgence lorsque les banques optent pour l'interface dédiée, afin d’assurer la continuité du service en cas d’indisponibilité ou de panne du système. Comme annoncé dans un article précédent (EUROPE 11907), la Commission a maintenu sa « solution de secours » qui autorise la pratique très critiquée du 'screenscraping' lorsque l'interface de communication dédiée n’est pas disponible pendant plus de 30 secondes, après cinq tentatives de connexion ou si elle ne respecte pas les obligations applicables aux interfaces.
Sur cette question, la Commission semble avoir tenu compte des critiques (EUROPE 11839) puisqu’elle propose que les banques puissent être exemptées de mettre en place une telle solution de secours à condition qu’elles mettent en place une interface de communication dédiée entièrement fonctionnelle répondant aux critères de qualité définis par les RTS, sur décision des autorités nationales et après consultation de l’ABE.
Premières réactions. « Ces normes de sécurité sont comme un fromage suisse. Elles peuvent sembler bonnes de l'extérieur, mais à l'intérieur, il y a beaucoup de trous », a déclaré Monique Goyens, la directrice générale du Bureau européen des unions de consommateurs (BEUC), dans un communiqué, regrettant le trop grand nombre d'exceptions fixées à l'authentification forte.
Pour la Fédération bancaire européenne, la « solution de repli » adoptée par la Commission n’est pas une solution pratique et apparait comme incompatible avec la réalité opérationnelle. Cette solution ne garantit pas que les informations accessibles par les prestataires tiers soient limitées à ce qui est nécessaire pour l’exécution du service qu’elles fournissent, a-t-elle indiqué.
« Le Parlement européen va maintenant examiner avec soin la législation de mise en œuvre dans tous ses détails, mais la première impression est favorable », a déclaré, quant à lui, le député Markus Ferber (PPE, allemand), responsable du dossier au Parlement européen. Le Parlement européen et le Conseil disposent en effet de trois mois pour examiner le texte et, éventuellement, émettre une objection.
Les RTS ainsi que les dispositions de la directive PSD2 directement liées commenceront à s'appliquer en septembre 2019, après une période de transition de 18 mois à partir de leur publication au Journal officiel de l'UE. Elles sont disponibles à l’adresse suivante : http://bit.ly/2AdUod3. (Marion Fontana)