Consultation Paper de l’ABE sur l’authentification et la communication

On sait [1] que l&rsquo;authentification forte du payeur est exig&eacute;e dans trois hypoth&egrave;ses : lorsqu&rsquo;il acc&egrave;de &agrave; son compte de paiement en ligne, initie une op&eacute;ration de paiement &eacute;lectronique et ex&eacute;cute &agrave; distance une action &agrave; risque de fraude ; cas de figure auxquels il faut ajouter l&rsquo;intervention d&rsquo;un prestataire de services d&rsquo;initiation de paiement (PSIP) ou d&rsquo;un prestataire de services d&rsquo;information sur les comptes (PSIC) (DSP 2, art. 97). L&rsquo;enjeu, pour ces derniers, est expos&eacute; au point 1 de l&rsquo;article 97 : &laquo; Les &Eacute;tats membres veillent &agrave; ce que le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services d&rsquo;initiation de paiement et le prestataire de services d&rsquo;information sur les comptes &agrave; se fonder sur les proc&eacute;dures d&rsquo;authentification pr&eacute;vues par le prestataire de services de paiement gestionnaire du compte &agrave; l&rsquo;intention de l&rsquo;utilisateur de services de paiement [&hellip;] &raquo;. Partant, l&rsquo;article 98 de la DSP 2 [2] donne mandat &agrave; l&rsquo;ABE d&rsquo;&eacute;laborer des projets de normes techniques de r&eacute;glementation (RTS [3] ), en y ajoutant un volet &laquo; communication &raquo;, dans la mesure o&ugrave; ces r&egrave;gles auront aussi &agrave; pr&eacute;ciser &laquo; les exigences applicables aux normes ouvertes communes et s&eacute;curis&eacute;es de communication aux fins de l&rsquo;identification, de l&rsquo;authentification, de la notification et de l&rsquo;information, ainsi que pour la mise en œuvre des mesures de s&eacute;curit&eacute;, entre les prestataires de services de paiement gestionnaires du compte, les prestataires de services d&rsquo;initiation de paiement, les prestataires de services d&rsquo;information sur les comptes, les payeurs, les b&eacute;n&eacute;ficiaires et d&rsquo;autres prestataires de services de paiement &raquo; (DSP 2, art. 98, 1, d). Les projets de normes devront &ecirc;tre soumis &agrave; la Commission d&rsquo;ici au 13 janvier 2017, qui les adoptera par voie d&rsquo;acte d&eacute;l&eacute;gu&eacute; (r&egrave;glement ou d&eacute;cision), conform&eacute;ment &agrave; l&rsquo;article 10 du r&egrave;glement (UE) n&deg; 1093/2010 du 24 novembre 2010 instituant l&rsquo;ABE. &Eacute;tant toutefois pr&eacute;cis&eacute; que lesdits RTS ne seront applicables que 18 mois apr&egrave;s leur adoption par la Commission, ce qui nous am&egrave;nerait &agrave; octobre 2018 &laquo; at the very earliest &raquo; (Consultation, p. 7). Pour ceux qui craignent que les portes ouvertes par la DSP 2 ne soient t&ocirc;t referm&eacute;es (et cadenass&eacute;es) au pr&eacute;texte d&rsquo;exigences s&eacute;curitaires, on note ceci &agrave; l&rsquo;alin&eacute;a 2 du point 1 de l&rsquo;article 10 du r&egrave;glement n&deg; 1093/2010 : &laquo; Les normes techniques de r&eacute;glementation sont de caract&egrave;re technique, n&rsquo;impliquent aucune d&eacute;cision strat&eacute;gique ni aucun choix politique et leur contenu est d&eacute;limit&eacute; par les actes l&eacute;gislatifs sur lesquels elles sont bas&eacute;es . &raquo; La prescription est &agrave; garder en m&eacute;moire. Mandat donn&eacute; &agrave; l&rsquo;ABE Outre la communication entre les diff&eacute;rents acteurs de la cha&icirc;ne du paiement, il est demand&eacute; &agrave; l&rsquo;ABE, en &eacute;troite coop&eacute;ration avec la Banque centrale europ&eacute;enne, de pr&eacute;ciser tant les exigences relatives &agrave; l&rsquo;authentification que les d&eacute;rogations envisageables compte tenu du niveau de risque li&eacute; au service fourni, au montant et/ou au caract&egrave;re r&eacute;current de l&rsquo;op&eacute;ration ainsi qu&rsquo;au moyen utilis&eacute; pour ex&eacute;cuter l&rsquo;op&eacute;ration (DSP 2, art. 98, 1, a et b, et 3). On observe par ailleurs qu&rsquo;une attention particuli&egrave;re est r&eacute;serv&eacute;e aux donn&eacute;es de s&eacute;curit&eacute; personnalis&eacute;es [4] de l&rsquo;utilisateur de services de paiement, dont la confidentialit&eacute; et l&rsquo;int&eacute;grit&eacute; doivent &ecirc;tre prot&eacute;g&eacute;es (DSP 2, art. 98, 1, c). Les objectifs strat&eacute;giques et politiques que l&rsquo;ABE devra suivre dans l&rsquo;&eacute;laboration de ses projets de normes techniques de r&eacute;glementation sont au nombre de cinq : garantir un niveau de s&eacute;curit&eacute; appropri&eacute; pour les utilisateurs de services de paiement et les prestataires de services de paiement (PSP) par l&rsquo;adoption d&rsquo;exigences efficaces et fond&eacute;es sur les risques ; garantir la s&eacute;curit&eacute; des fonds et des donn&eacute;es &agrave; caract&egrave;re personnel des utilisateurs de services de paiement ; garantir et maintenir une concurrence &eacute;quitable entre l&rsquo;ensemble des PSP ; garantir la neutralit&eacute; du mod&egrave;le commercial et des technologies, et permettre le d&eacute;veloppement de moyens de paiement innovants, accessibles et faciles &agrave; utiliser (DSP 2, art. 98, 2). &Agrave; titre de consid&eacute;ration g&eacute;n&eacute;rale, &laquo; lorsqu&rsquo;elle &eacute;labore des normes techniques de r&eacute;glementation concernant l&rsquo;authentification et la communication, l&rsquo;ABE devrait syst&eacute;matiquement &eacute;valuer et prendre en consid&eacute;ration la dimension &ldquo;respect de la vie priv&eacute;e&rdquo; afin de r&eacute;pertorier les risques associ&eacute;s &agrave; chacune des solutions techniques disponibles et les mesures qui devraient &ecirc;tre mises en place pour r&eacute;duire &agrave; un minimum les menaces pour la protection des donn&eacute;es &raquo; (DSP 2, cons. 94). Cela est naturellement &agrave; mettre en parall&egrave;le avec le nouveau r&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es du 27 avril 2016 (RGPD). De Discussion en Consultation Paper Un Discussion Paper on strong customer authentification and secure communication fut publi&eacute; le 8 d&eacute;cembre 2015, dont les r&eacute;ponses (au nombre de 118 dont 82 publi&eacute;es sur le site de l&rsquo;ABE) &agrave; la vingtaine de questions pos&eacute;es &eacute;taient attendues pour le 8 f&eacute;vrier 2016. Le temps est d&eacute;sormais au Consultation Paper on the draft Regulatory Technical Standards specifying the requirements on strong customer authentification and common and secure communication under PSD2 , lanc&eacute; le 12 ao&ucirc;t 2016, et dont les retours sont attendus avant le 12 octobre. Est soumis &agrave; consultation le texte d&rsquo;un r&egrave;glement d&eacute;l&eacute;gu&eacute; de la Commission compos&eacute; de quatre chapitres : Strong customer authentification ; Exemptions from strong customer authentification ; Protection of the confidentiality and integrity of the payment service users&rsquo; personalised security credentials ; Common and secure open standard of communication. Que retenir &agrave; ce stade du projet de r&egrave;glement objet de la pr&eacute;sente consultation ? En mati&egrave;re d&rsquo;authentification forte, d&rsquo;abord, et sans entrer dans le d&eacute;tail (technique) des mesures propos&eacute;es (code d&rsquo;authentification, lien dynamique, etc.), on peut observer qu&rsquo;un examen r&eacute;gulier de la proc&eacute;dure d&rsquo;authentification forte est envisag&eacute; : &laquo; The overall security of the strong customer authentication procedure shall be periodically tested, evaluated and audited by internal or external independent and certified auditors. The periodicity of these audits shall be defined according to the relevant audit framework of the payment services provider &raquo; (art. 7, 1). On retrouve une telle logique d&rsquo;accountability, ch&egrave;re au RGPD, en mati&egrave;re de protection de la confidentialit&eacute; et de l&rsquo;int&eacute;grit&eacute; des donn&eacute;es de s&eacute;curit&eacute; personnalis&eacute;es : &laquo; The overall security of measures to protect the confidentiality and integrity of payment service users&rsquo; personalised security credentials, as referred to in articles 9 to 15, shall be documented, periodically tested, evaluated and audited by internal or external independent and certified auditors &raquo; (art. 16, 1). Concernant les exemptions &agrave; l&rsquo;authentification forte, allusion semble &ecirc;tre faite aux PSIC &agrave; l&rsquo;article 8, 1, a, dans la mesure o&ugrave; est exempt&eacute; le payeur qui acc&egrave;de exclusivement aux informations de son compte de paiement en ligne, &laquo; or the consolidated information on other payment accounts held, without disclosure of sensitive payment data &raquo;, exemption qui cesse lorsque &laquo; the payer accesses the information of its payment account online, or the consolidated information on other payment accounts held, for the first time &raquo; ou &laquo; the payer accesses the information of its payment account online, or the consolidated information on other payment accounts held, later than one month after the last day in which strong customer authentication was applied &raquo;. On terminera par dire quelques mots sur ce qui sera au cœur des &laquo; tensions &raquo; entre PSP gestionnaires de compte, d&rsquo;une part, et PSIP et PSIC d&rsquo;autre part : les &laquo; normes ouvertes communes et s&eacute;curis&eacute;es de communication &raquo; de l&rsquo;article 98, 1, d de la DSP 2. Le si&egrave;ge de la mati&egrave;re est l&rsquo;article 19 de la proposition de r&egrave;glement, dont on citera le point 1 : &laquo; Account servicing payment service providers that are offering to a payer a payment account that is accessible online shall offer at least one communication interface enabling : Account information service providers, payment initiation service providers and payment service providers issuing card-based payment instruments to identify themselves towards the account servicing payment service provider; Account information service providers, payment initiation service providers and payment service providers issuing card-based payment instruments to securely communicate with the account servicing payment service provider for requesting payment account information, initiating payments from the payer&rsquo;s payment account and receiving confirmation whether an amount necessary for the execution of a card-based payment transaction is available on the payment account of the payer; Account information service providers and payment initiation service providers to rely on the authentication procedures provided by the account servicing payment service provider to the payment service user &raquo;. Un exercice d&eacute;licat Laissons &agrave; un membre de l&rsquo;ABE le soin de conclure que celle-ci se livre &agrave; un exercice d&eacute;licat puisqu&rsquo;elle &laquo; &eacute;crit actuellement des normes qui ne seront effectives que dans deux ans et demi au plus t&ocirc;t, alors que le rythme des innovations est particuli&egrave;rement &eacute;lev&eacute; dans ce secteur. D&rsquo;autant que c&rsquo;est la premi&egrave;re fois que des exigences de s&eacute;curit&eacute; en mati&egrave;re de paiement seront inscrites dans la loi europ&eacute;enne &raquo; [5] . Achev&eacute; de r&eacute;diger le 15 septembre 2016. 1 Cf. P. Storrer, &laquo; Ab&eacute;c&eacute;daire de la DSP 2 &raquo;, Revue Banque n&deg; 793, f&eacute;vr. 2016, p. 90, v&deg; Authentification forte du client. 2 Cf. G. Gofffinet, &laquo; L&rsquo;ABE va devoir pr&eacute;ciser dans les deux prochaines ann&eacute;es les conditions d&rsquo;application de la seconde DSP &raquo;, Hors-S&eacute;rie Banque et Droit , juill.-ao&ucirc;t 2016, p. 9. 3 Cf. DSP 2, cons. 107 : &laquo; Afin de garantir une application coh&eacute;rente de la pr&eacute;sente directive, la Commission devrait pouvoir s&rsquo;appuyer sur l&rsquo;expertise et le soutien de l&rsquo;ABE, qui devrait &ecirc;tre charg&eacute;e d&rsquo;&eacute;laborer des orientations et des projets de normes techniques de r&eacute;glementation sur les questions de s&eacute;curit&eacute; en mati&egrave;re de services de paiement, en particulier pour ce qui concerne l&rsquo;authentification forte du client, et sur la coop&eacute;ration entre les &Eacute;tats membres dans le contexte de la prestation de services et de l&rsquo;&eacute;tablissement dans d&rsquo;autres &Eacute;tats membres des &eacute;tablissements de paiement agr&eacute;&eacute;s . &raquo; 4 Cf. DSP 2, art. 4, 31 : &laquo; Donn&eacute;es personnalis&eacute;es fournies &agrave; un utilisateur de services de paiement par le prestataire de services de paiement &agrave; des fins d&rsquo;authentification. &raquo; 5 G. Goffinet, pr&eacute;cit., p. 13.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Droit des moyens et services de paiement

Consultation Paper de l’ABE sur l’authentification et la communication

De la dizaine de normes techniques et orientations que doit adopter l’Autorité bancaire européenne (ABE) d’ici l’entrée en application de la DSP 2, les Regulatory Technical Standards (RTS) relatifs à l’authentification et à la communication sont sans doute parmi les plus importantes.

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Droit des moyens et services de paiement

Consultation Paper de l’ABE sur l’authentification et la communication

De la dizaine de normes techniques et orientations que doit adopter l’Autorité bancaire européenne (ABE) d’ici l’entrée en application de la DSP 2, les Regulatory Technical Standards (RTS) relatifs à l’authentification et à la communication sont sans doute parmi les plus importantes.

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »