On se souvient[1] que, le 21 juin dernier, au détour d’une opinion relative aux éléments de l’authentification forte requise par la DSP 2, l’EBA avait en quelque sorte sursis à l’entrée en application de celle-ci (prévue le 14 septembre 2019), en acceptant, “on an exceptional basis and in order to avoid unintended negative consequences for some payment service users after 14 September 2019”, que “CAs may decide to work with PSPs and relevant stakeholders, including consumers and merchants, to provide limited additional time to allow issuers to migrate to authentication approaches that are compliant with SCA, such as those described in this Opinion, and acquirers to migrate their merchants to solutions that support SCA[2]”.
Voici que l’EBA nous donne une deuxième opinion, datée du 16 octobre 2019, qui porte cette fois sur la “deadline for the migration to SCA for e-commerce card-based payment transactions”. On y apprend ainsi que toutes les autorités nationales de supervision (« NCAs » pour l’aconyme anglais) de l’Union européenne ont usé de la flexibilité accordée par le superviseur en chef (“supervisory flexibility”) ; ou que la majorité des répondants au questionnaire envoyé par l’EBA en juillet-août aurait souhaité bénéficier d’une période de 18 mois “for smooth, frictionless and ordered migration of the entire e-commerce card-based payment ecosystem to SCA-compliant approaches and solutions” (n° 15). L’Autorité bancaire européenne reprend cependant la main et fixe au 31 décembre 2020 la date butoir de migration à l’autentification forte, dont deux tableaux (l’un destiné aux prestataires de services de paiement émetteurs, l’autre aux acquéreurs) détaillent les étapes et actions attendues.
Par un communiqué de presse du 28 octobre 2019, l’Observatoire français de la sécurité des moyens de paiement (OMSP) s’est « félicité » de l’avis rendu par l’EBA, dont le « calendrier est en phase avec le plan de migration élaboré sous l’égide de l’Observatoire, rendu public le 11 septembre 2019 ». Décidément, et paradoxalement compte tenu du sujet, tout est très flexible concernant l’authentification forte. Car le plan de migration de la Place française a bien été « construit sur une période de 18 mois [et] vise la disparition à horizon mars 2021 des transactions n’ayant pas fait l’objet d’une authentification forte du client et ne répondant pas aux cas d’exemption »[3]. Flexible temps, flexible droit…
Services de paiement – Prestataires de services de paiement – DSP 2 – Authentification forte.
Achevé de rédiger le 13 novembre 2019
[1] Cf. P. Storrer, « Authentification forte et DSP 2 : une histoire de “supervisory flexibility” », Banque et Droit n° 187, sept.-oct. 2019, p. 32. Adde, « La DSP 2 ou les infortunes de l’authentification forte », Revue Banque n° 836, oct. 2019, p. 78.
[2] Opinon of the European Banking Authority on the elements of strong customer authentication under PSD2, EBA-Op-2019-06, 21 juin 2019, n° 13.
[3] OMSP, « Plan de migration de la Place française – Solutions d’authentification forte et infrastructure 3D-Secure », p. 6.
