La DSP 2 ou les infortunes de l’authentification forte

1. Une nouvelle équation. Authentification forte du client : une authentification à deux éléments au moins (parmi les trois que sont la connaissance, la possession et l’inhérence), nous dit le point 30 de l’article 4 de la DSP 2 ; à deux éléments et une inconnue : désormais, faut-il ajouter quand ? ; cette interrogation étant elle-même sujette à deux interprétations : quand pourra-t-on (i. e. quand la technologie sera-t-elle prête ?) ou quand voudra-t-on (i. e. la fluidité du parcours client prime-t-elle sur la lutte contre la fraude aux paiements ?) appliquer l’authentification forte du payeur qui accède à son compte en ligne ou initie une opération de paiement électronique, notamment à distance [1] ? Autrement dit, si le paiement (en ce compris l’accès aux comptes) est (devenu) une technologie de pointe, il manquerait son but en imposant trop de contraintes aux utilisateurs (payeurs comme bénéficiaires).

Enjeu pratique, certes, mais aussi politique, de politique législative européenne : faut-il que les directives européennes aillent aussi loin dans le détail et conditionnent leur application à la prise de normes techniques dont on sait, par expérience, qu’elles arrivent toujours en retard ? Se peut-il que l’unité du cadre juridique (la DSP 2) vole en éclats au gré des réticences de mise en œuvre de certains acteurs ? Car c’est bien de cela dont il s’agit : non seulement l’impératif d’authentification forte se désolidarise de celui de la communication sécurisée, pourtant inscrits dans le même règlement 2018/389 [2] , mais encore, chacun des États membres y va de son propre calendrier, ruinant par là-même l’ambition d’origine d’un marché unifié (SEPA).

À moins que cela ne soit qu’un défaut de pédagogie, voire de démocratie. Comment expliquer, sinon, que les principaux acteurs de l’industrie des paiements en ligne se soient retrouvés pour signer, en août dernier, un Joint Industry Statement on SCA implementation ? Qu’ensemble ils se soient déclarés « highly supportive of the goals of SCA » tout en réclamant davantage de temps ? Si les uns et les autres manquaient de temps, il fallait le dire sans attendre le 14 septembre 2019. Si, comme une étude de la FinTech Stripe en faisait le constat en juin 2019, le risque de perte lié au passage à l’authentification forte se monterait à 57 milliards d’euros [3] , qu’a-t-on attendu pour s’alarmer ? Ou, alors, la règle de l’authentification à deux facteurs est idiote (i. e. disproportionnée par rapport au risque de fraude) et il faut être capable de la contester plutôt que de jouer la montre.

2. L’intention. L’innovation portée par la DSP 2 devait être doublée par une sécurisation des paiements électroniques (sans oublier l’accès aux comptes de paiement en ligne) et de la communication entre les dispositifs du payeur et du bénéficiaire [4] , objet des fameux « RTS on SCA and CSC » [5] . Publiés au JOUE du 13 mars 2018 – après que la directive elle-même était entrée en application le 13 janvier précédent –, les RTS avaient comme date d’application le 14 septembre 2019 [6] . Il faut remettre cette échéance dans son contexte, celui d’une proposition de DSP 2 remontant au… 24 juillet 2013 et formulant expressément cette exigence d’authentification forte [7] . Six années plus tard, et sans vouloir minimiser les difficultés d’ordre technologique, qui soutiendrait légitimement avoir été pris au dépourvu dans cette affaire ?

On eût volontiers pensé que les écueils se rencontreraient plutôt du côté de la mise en œuvre des mesures de communication sécurisée par voie d’API, dans le contexte des services d’information sur les comptes, d’initiation de paiement et de confirmation de la disponibilité des fonds [8] . Mais non, c’est bien l’authentification forte qui, manifestement, pose problème – et, manifestement encore, pose problème du côté de l’industrie du e-commerce [9] – et oblige à un report sine die, ou presque, de l’échéance du 14 septembre, rappelant par-là le feuilleton de la end date du règlement sur le passage à la norme SEPA des virements et prélèvements [10] . Le règlement 2018/389 entendait pourtant clairement que les différentes dates d’application des mesures visées aux articles 65, 66 et 67 de la DSP 2 (communication) et à l’article 97 (authentification) soient alignées [11] .

Mais il se dit aussi que la (très) grande majorité des banques gestionnaires de comptes ne seraient pas non plus prêtes pour le déploiement de leurs API. Ainsi, selon la FinTech Tink, au 21 août 2019, « Zero PSD 2 APIs are compliant with just weeks left before the deadline ». Pourquoi, dès lors, n’a-t-il pas été décidé d’une initiative conjointe, reportant la mise en application tant de l’authentification forte que de la communication sécurisée ? Un peu de cohérence aurait été sauvegardé.

3. Report, acte I. Le coup d’envoi de la « débandade » – cela en a tout l’air – a été donné par l’EBA elle-même dans son opinion du 21 juin 2019 : « The EBA reiterates that the application date of the RTS, as published in the Official Journal of the EU, is 14 September 2019, by which date all PSPs have to comply with the requirements set out therein. However, the EBA acknowledges the complexity of the payments markets across the EU and the necessary changes (including those described in this opinion) required to enable the issuer to apply SCA, in particular those required by actors that are not PSPs, such as e-merchants, which may be challenging and may lead to some actors in the payments chain not being ready. […] The EBA therefore accepts that, on an exceptional basis and in order to avoid unintended negative consequences for some payment service users after 14 September 2019, CAs may decide to work with PSPs and relevant stakeholders, including consumers and merchants, to provide limited additional time to allow issuers to migrate to authentication approaches that are compliant with SCA, such as those described in this Opinion, and acquirers to migrate their merchants to solutions that support SCA. This supervisory flexibility is available under the condition that PSPs have set up a migration plan, have agreed the plan with their CA, and execute the plan in an expedited manner. CAs should monitor the execution of these plans to ensure swift compliance with the PSD2 and the EBA’s technical standards and to achieve consistency of authentication approaches across the EU  [12] . »

Partant, les autorités compétentes des États membres – nous ne les avons pas toutes recensées – ont déclaré les unes après les autres vouloir profiter de ce « temps additionnel ». Sans surprise, Brexit ou pas, les Anglais ont été parmi les premiers à « tirer » [13] . Par un communiqué de presse daté du 13 août, la FCA déclarait : « The FCA has today agreed an 18-month plan to implement SCA with the e-commerce industry of card issuers, payments firm and online retailers. The plan reflects the recent opinion of the European Banking Authority (EBA) which set out that more time was needed to implement SCA given the complexity of the requirements, a lack of preparedness and the potential for a significant impact on consumers. »

La BaFin allemande suivait, le 21 août : « As a temporary measure, payment service providers domiciled in Germany will still be allowed to execute credit card payments online without strong customer authentication after 14 September 2019. The Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin) will not object to such transactions for the time being. This is intended to prevent disruptions to online payment processes and to facilitate the smooth transition to the new requirements of the Second Directive on Payment Services (PSD 2). »

Puis ce fut au tour de la Banque nationale de Belgique (BNB) d’annoncer, le 27 août, « un plan de migration raisonnable et acceptable – dès que raisonnablement possible après le 14 septembre 2019 » ; ou à la Commission de Surveillance du Secteur Financier (CSSF) luxembourgeoise d’accorder, par un communiqué du 30 août, « une prolongation du délai de mise en œuvre de la SCA au-delà du 14 septembre 2019 », tout en reconnaissant qu’ « étant donné la nature transfrontalière du e-commerce, l’adoption d’une date butoir de mise en conformité commune et harmonisée au niveau européen est jugée essentielle ».

Et la France ? On a cherché vainement (du moins au jour où nous écrivons) toute communication de l’autorité censément compétente : l’ACPR (voire la Banque de France, directement en charge de la sécurité des moyens de paiement). Cela est regrettable. L’information existe pourtant, mais ailleurs : on la trouve en effet dans le dernier Rapport annuel de l’Observatoire de la sécurité des moyens de paiement (exercice 2018), qui expose dans un chapitre I son « plan de migration des solutions d’authentification forte reposant sur la réception d’un code temporaire reçu par SMS (SMS OTP) », et prévoit que cette migration devrait être aboutie pour l’essentiel d’ici décembre 2020 et complètement achevée en trois ans (donc juin 2022).

On en est donc à l’heure des postures : chacune des autorités y va de l’affirmation selon laquelle la date du 14 septembre 2019 est intangible, le passage à l’authentification forte une nécessité impérieuse, etc., tout en se glissant dans les pas de l’EBA et de sa permission de report. Le 14 septembre 2019 n’est plus une end date mais un point de départ(s), plutôt au pluriel puisque les États (re)partent en ordre dispersé.

Achevé de rédiger le 9 septembre 2019.