Officiellement entrées en application le 14 septembre dernier, les normes techniques de réglementation (RTS) précisant la deuxième directive européenne sur les services de paiement (DSP 2) imposent le remplacement progressif du code aléatoire à usage unique envoyé par SMS (One Time Password – OTP) lors des opérations de paiement en ligne, par des solutions dites « fortes », telles que la saisie d’un code confidentiel ou d’une empreinte biométrique via une application mobile de banque en ligne. L’Autorité bancaire européenne (ABE) avait en effet estimé, dans un avis daté du 13 juin 2018, que la simple saisie des données inscrites sur une carte de paiement ne pouvait constituer une solution d’authentification conforme à la nouvelle réglementation.
Abandon progressif
Le 21 juin dernier, l’Autorité avait cependant pris acte des « défis » que représentait partout en Europe la mise en place de telles solutions d’authentification du client, en particulier pour les e-commerçants. Elle avait alors invité les autorités nationales à concevoir un « plan de migration » visant à mettre en conformité leur marché domestique dans les meilleurs délais. L’Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France a donc défini le sien, en collaboration avec les acteurs de la Place française : profession bancaire, fédérations de commerçants, associations de consommateurs, acteurs du marché des paiements. « Nous avons travaillé selon nos habitudes, en identifiant l’état de l’existant, explique Julien Lasalle, en charge de l’Observatoire de la sécurité des moyens de paiement de la Banque de France : les solutions déjà proposées par les banques et compatibles avec les requis de la DSP 2, leur rythme de déploiement commercial, et les difficultés rencontrées par les autres établissements bancaires. »
Une marge de prudence
Le plan de migration français a été approuvé par l’Observatoire lors de sa réunion plénière de juin 2019, et validé dans son rapport annuel 2018. Celui-ci prévoit une mise en œuvre d’ici décembre 2020, pour plus des trois quarts des consommateurs et des transactions, mais aussi un achèvement complet d’ici moins de trois ans, échéance que Julien Lasalle qualifie de « marge de précaution dont l’utilisation devra être aussi réduite que possible ». « En décembre 2020, une très grande majorité des utilisateurs devra utiliser une solution d’identification autre que le code SMS à usage unique. Les banques ont d’ailleurs déjà à leur disposition des outils relativement matures. Le travail qui reste à accomplir consiste d’abord dans l’enrôlement et la formation des clients. » Avant de préciser : « Certaines populations seront plus difficiles à traiter que d’autres, notamment les plus fragiles, les moins équipées, ou les expatriés qui rencontrent des problèmes d’accès aux lignes téléphoniques ou d’identification du matériel utilisé. La période supplémentaire que nous accordons, au maximum 18 mois, permettra de traiter ces cas particuliers résiduels. »
Une concertation européenne imminente
Cet automne, chacune des autorités nationales compétentes devait présenter son plan de migration, ou à défaut une synthèse des réponses à un questionnaire portant sur l’état de préparation des commerçants, des banques et des consommateurs. Les plans de migration seront soumis à l’approbation de l’ABE. « L’Autorité souhaite une concertation entre les différentes propositions des États membres, pour fixer une date butoir maximale », rappelle Julien Lasalle. En tant qu’autorité compétente, la Banque de France cautionne le plan français et ses échéances. « Nous n’entendons pas nous en éloigner », souligne Julien Lasalle. « Il s’appuie sur des hypothèses ambitieuses et réalistes à la fois, d’autant que notre véritable cible reste l’échéance de décembre 2020. » Le plan de migration français fera l’objet d’un suivi mensuel par un groupe dédié, présidé par la Banque de France et composé de représentants des différentes parties impliquées.
