Consultation Paper de l’ABE sur l’authentification et la communication

On sait [1] que l’authentification forte du payeur est exigée dans trois hypothèses : lorsqu’il accède à son compte de paiement en ligne, initie une opération de paiement électronique et exécute à distance une action à risque de fraude ; cas de figure auxquels il faut ajouter l’intervention d’un prestataire de services d’initiation de paiement (PSIP) ou d’un prestataire de services d’information sur les comptes (PSIC) (DSP 2, art. 97). L’enjeu, pour ces derniers, est exposé au point 1 de l’article 97 : « Les États membres veillent à ce que le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services d’initiation de paiement et le prestataire de services d’information sur les comptes à se fonder sur les procédures d’authentification prévues par le prestataire de services de paiement gestionnaire du compte à l’intention de l’utilisateur de services de paiement […] ». Partant, l’article 98 de la DSP 2 [2] donne mandat à l’ABE d’élaborer des projets de normes techniques de réglementation (RTS [3] ), en y ajoutant un volet « communication », dans la mesure où ces règles auront aussi à préciser « les exigences applicables aux normes ouvertes communes et sécurisées de communication aux fins de l’identification, de l’authentification, de la notification et de l’information, ainsi que pour la mise en œuvre des mesures de sécurité, entre les prestataires de services de paiement gestionnaires du compte, les prestataires de services d’initiation de paiement, les prestataires de services d’information sur les comptes, les payeurs, les bénéficiaires et d’autres prestataires de services de paiement » (DSP 2, art. 98, 1, d). Les projets de normes devront être soumis à la Commission d’ici au 13 janvier 2017, qui les adoptera par voie d’acte délégué (règlement ou décision), conformément à l’article 10 du règlement (UE) n° 1093/2010 du 24 novembre 2010 instituant l’ABE. Étant toutefois précisé que lesdits RTS ne seront applicables que 18 mois après leur adoption par la Commission, ce qui nous amènerait à octobre 2018 « at the very earliest » (Consultation, p. 7).

Pour ceux qui craignent que les portes ouvertes par la DSP 2 ne soient tôt refermées (et cadenassées) au prétexte d’exigences sécuritaires, on note ceci à l’alinéa 2 du point 1 de l’article 10 du règlement n° 1093/2010 : « Les normes techniques de réglementation sont de caractère technique, n’impliquent aucune décision stratégique ni aucun choix politique et leur contenu est délimité par les actes législatifs sur lesquels elles sont basées. » La prescription est à garder en mémoire.

Mandat donné à l’ABE

Outre la communication entre les différents acteurs de la chaîne du paiement, il est demandé à l’ABE, en étroite coopération avec la Banque centrale européenne, de préciser tant les exigences relatives à l’authentification que les dérogations envisageables compte tenu du niveau de risque lié au service fourni, au montant et/ou au caractère récurrent de l’opération ainsi qu’au moyen utilisé pour exécuter l’opération (DSP 2, art. 98, 1, a et b, et 3). On observe par ailleurs qu’une attention particulière est réservée aux données de sécurité personnalisées [4] de l’utilisateur de services de paiement, dont la confidentialité et l’intégrité doivent être protégées (DSP 2, art. 98, 1, c).

Les objectifs stratégiques et politiques que l’ABE devra suivre dans l’élaboration de ses projets de normes techniques de réglementation sont au nombre de cinq :

• garantir un niveau de sécurité approprié pour les utilisateurs de services de paiement et les prestataires de services de paiement (PSP) par l’adoption d’exigences efficaces et fondées sur les risques ;
• garantir la sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement ;
• garantir et maintenir une concurrence équitable entre l’ensemble des PSP ;
• garantir la neutralité du modèle commercial et des technologies, et
• permettre le développement de moyens de paiement innovants, accessibles et faciles à utiliser (DSP 2, art. 98, 2).

À titre de considération générale, «  lorsqu’elle élabore des normes techniques de réglementation concernant l’authentification et la communication, l’ABE devrait systématiquement évaluer et prendre en considération la dimension “respect de la vie privée” afin de répertorier les risques associés à chacune des solutions techniques disponibles et les mesures qui devraient être mises en place pour réduire à un minimum les menaces pour la protection des données » (DSP 2, cons. 94). Cela est naturellement à mettre en parallèle avec le nouveau règlement général sur la protection des données du 27 avril 2016 (RGPD).

De Discussion en Consultation Paper

Un Discussion Paper on strong customer authentification and secure communication fut publié le 8 décembre 2015, dont les réponses (au nombre de 118 dont 82 publiées sur le site de l’ABE) à la vingtaine de questions posées étaient attendues pour le 8 février 2016. Le temps est désormais au Consultation Paper on the draft Regulatory Technical Standards specifying the requirements on strong customer authentification and common and secure communication under PSD2, lancé le 12 août 2016, et dont les retours sont attendus avant le 12 octobre. Est soumis à consultation le texte d’un règlement délégué de la Commission composé de quatre chapitres :

• Strong customer authentification ;
• Exemptions from strong customer authentification ;
• Protection of the confidentiality and integrity of the payment service users’ personalised security credentials ;
• Common and secure open standard of communication.

Que retenir à ce stade du projet de règlement objet de la présente consultation ? En matière d’authentification forte, d’abord, et sans entrer dans le détail (technique) des mesures proposées (code d’authentification, lien dynamique, etc.), on peut observer qu’un examen régulier de la procédure d’authentification forte est envisagé : « The overall security of the strong customer authentication procedure shall be periodically tested, evaluated and audited by internal or external independent and certified auditors. The periodicity of these audits shall be defined according to the relevant audit framework of the payment services provider » (art. 7, 1). On retrouve une telle logique d’accountability, chère au RGPD, en matière de protection de la confidentialité et de l’intégrité des données de sécurité personnalisées : «  The overall security of measures to protect the confidentiality and integrity of payment service users’ personalised security credentials, as referred to in articles 9 to 15, shall be documented, periodically tested, evaluated and audited by internal or external independent and certified auditors » (art. 16, 1).

Concernant les exemptions à l’authentification forte, allusion semble être faite aux PSIC à l’article 8, 1, a, dans la mesure où est exempté le payeur qui accède exclusivement aux informations de son compte de paiement en ligne, « or the consolidated information on other payment accounts held, without disclosure of sensitive payment data », exemption qui cesse lorsque « the payer accesses the information of its payment account online, or the consolidated information on other payment accounts held, for the first time » ou « the payer accesses the information of its payment account online, or the consolidated information on other payment accounts held, later than one month after the last day in which strong customer authentication was applied ».

On terminera par dire quelques mots sur ce qui sera au cœur des « tensions » entre PSP gestionnaires de compte, d’une part, et PSIP et PSIC d’autre part : les « normes ouvertes communes et sécurisées de communication » de l’article 98, 1, d de la DSP 2. Le siège de la matière est l’article 19 de la proposition de règlement, dont on citera le point 1 :

« Account servicing payment service providers that are offering to a payer a payment account that is accessible online shall offer at least one communication interface enabling :

• Account information service providers, payment initiation service providers and payment service providers issuing card-based payment instruments to identify themselves towards the account servicing payment service provider;
• Account information service providers, payment initiation service providers and payment service providers issuing card-based payment instruments to securely communicate with the account servicing payment service provider for requesting payment account information, initiating payments from the payer’s payment account and receiving confirmation whether an amount necessary for the execution of a card-based payment transaction is available on the payment account of the payer;
• Account information service providers and payment initiation service providers to rely on the authentication procedures provided by the account servicing payment service provider to the payment service user ».

Un exercice délicat

Laissons à un membre de l’ABE le soin de conclure que celle-ci se livre à un exercice délicat puisqu’elle « écrit actuellement des normes qui ne seront effectives que dans deux ans et demi au plus tôt, alors que le rythme des innovations est particulièrement élevé dans ce secteur. D’autant que c’est la première fois que des exigences de sécurité en matière de paiement seront inscrites dans la loi européenne » [5] .

Achevé de rédiger le 15 septembre 2016.