1. L’ordonnance n° 2009-866 du 15 juillet 2009, relative aux conditions régissant la fourniture de services de paiement[1] était venue transposer en droit français la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite « DSP 1 »[2]. Les évolutions en découlant avaient été, alors, importantes : création des établissements de paiement, encadrement des relations contractuelles entre les clients et les prestataires de services de paiement ou encore instauration d’un cadre général applicable à toutes les opérations de paiement.
2. Mais ce droit a récemment évolué. La directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP 2 »[3] a été adoptée afin de prendre en compte les évolutions technologiques et les nouveaux usages apparus sur le marché des paiements depuis l’adoption de la DSP 1 en 2007. Ce nouveau texte a alors été transposé, en droit national, par l’ordonnance n° 2017-1252 du 9 août 2017[4], prise sur le fondement de l’habilitation prévue par la loi n° 2016-1691 du 9 décembre 2016, dite loi « Sapin 2 ». Les évolutions en découlant sont diverses et variées. Elles viennent de faire l’objet d’une loi de ratification leur donnant valeur législative[5].
3. Or l’une des nouveautés issues de cette DSP 2 suscite l’attention : elle porte sur les exigences liées à l’authentification de l’utilisateur de service de paiement. En effet, en raison notamment de la croissance régulière des paiements par internet et par téléphone mobile, la directive précitée cherche à généraliser les mesures de sécurité, et à les renforcer. Plus concrètement, en vue de garantir la protection des utilisateurs et le développement d’un « environnement sain» pour le e-commerce, tous les services de paiement proposés par voie électronique devront être sécurisés au moyen de technologies permettant de garantir une authentification sûre de l’utilisateur et de réduire les risques de fraude. À cet effet, il est introduit une nouvelle méthode d’authentification : celle de « l’authentification forte du client » (Strong Customer Authentification – SCA).
4. L’idée sous-jacente à cette évolution est très simple : lutter contre la fraude en permettant de s’assurer qu’une opération a bien été initiée par l’utilisateur d’un service de paiement, c’est-à-dire, selon les cas, par le payeur ou le bénéficiaire en relation contractuelle avec le prestataire concerné.
5. Afin de permettre une implantation effective et harmonisée de ces nouvelles règles sécuritaires, l’Autorité bancaire européenne a été chargée d’élaborer des projets de normes techniques de réglementation (Regulatory Technical Standard) venant préciser les exigences relatives à l’authentification forte du client et les exigences auxquelles doivent satisfaire les mesures de sécurité. Le droit régissant cette authentification a donc été complété, dernièrement[6], par le règlement délégué n° 2018/389 du 27 novembre 2017[7].
6. Cette authentification forte intrigue. De quoi s’agit-il ? D’une façon générale[8], on peut dire que c’est une technique conçue dans le but de protéger la confidentialité des données d’authentification au travers de l’utilisation de deux éléments au moins relatifs à des éléments liés à la connaissance de l’utilisateur, à ce qu’il possède ou à l’une de ses caractéristiques propres. Cela consiste, pour résumer, à permettre la vérification de l’identité du payeur à l’aide de codes additionnels. La composition d’un code confidentiel, ou l’utilisation d’un mot de passe, n’est plus suffisante à elle seule.
7. Ainsi, le nouvel article L. 133-44 du Code monétaire et financier exige désormais de la part du prestataire de services de paiement (PSP) l’application, dans un certain nombre de cas, de cette « authentification forte du client ». Celle-ci devrait, par conséquent, avoir rapidement des incidences pratiques notables.
8. Observons alors son contenu (I.), mais aussi les cas dans lesquels cette authentification forte s’impose (II.) ou, à l’inverse, est exclue par les textes (III.).
I. Le contenu de l’authentification forte
9. Le droit français définit aujourd’hui cette authentification forte par l’article L. 133-4, f, du Code monétaire et financier. Il s’agit ainsi d’« une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et “inhérence” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification »[9]. L’authentification forte reposera donc, selon les prestataires concernés, sur l’utilisation de deux de ces éléments, voire plus.
10. Il est possible d’illustrer cette authentification forte à travers l’identification à deux facteurs qu’utilise Apple depuis déjà quelques années. Cette solution consiste pour le client, d’abord, à s’identifier via son adresse mail à l’aide d’un mot de passe. Ensuite, avant d’accéder à son compte icloud.com, l’intéressé reçoit un code de validation sur un appareil préalablement enregistré comme appareil de confiance (iPad, iPhone, etc.). La saisie de ce code est alors nécessaire et permet d’accéder à son compte. Cette procédure permet de garantir que c’est bien le client qui a accédé au compte en question, et ce même si quelqu’un d’autre est parvenu à connaître le mot de passe.
11. La définition légale précitée, qui est rappelée par l’article 4 règlement délégué n° 2018/389 du 27 novembre 2017, doit être clarifiée, même si l’on comprend que la sécurisation des paiements en ligne par SMS[10] sera désormais insuffisante[11]. En effet, si la notion de « connaissance »[12] (par exemple un mot de passe ou un code confidentiel) est assez claire, il en va différemment de celles de « possession »[13] et d’« inhérence »[14]. Des précisions s’imposent.
12. En premier lieu, concernant la « possession », il s’agira d’un objet que seul l’utilisateur possède (smartphone, ordinateur, tablette, etc.). Ainsi, si l’on reprend l’exemple d’Apple, on peut noter que l’iPhone est déclaré sur les serveurs Apple comme étant la possession de M. X. C’est d’ailleurs pour cela que la revente de tout appareil Apple sur le marché de l’occasion oblige son propriétaire à désinscrire l’appareil comme lui appartenant sur les serveurs Apple. Dans le cas contraire, le nouveau propriétaire ne pourra jamais l’utiliser, faute de pouvoir le réactiver. Une déclaration s’impose par conséquent. Cette situation est expressément mentionnée dans les conditions générales d’Apple.
13. En second lieu, l’« inhérence » doit être entendue comme une donnée biométrique, telles les empreintes digitales ou une reconnaissance faciale (et notamment le visage ou les yeux). On peut également imaginer une reconnaissance par la voix. On rappellera, sur ce dernier point, que la Banque Postale a lancé, il y a quelques mois, un système permettant d’authentifier un paiement à distance en utilisant sa voix plutôt que le code secret pour valider les paiements[15].
14. Quelques précisions utiles, liées au contenu de l’authentification forte, figurent encore à l’article 4 du règlement délégué n° 2018/389 du 27 novembre 2017[16]. D’une part, celui-ci précise que les prestataires de services de paiement (PSP) doivent prendre des mesures de sécurité garantissant le respect des exigences suivantes : il ne faut qu’aucune information sur l’un des éléments en question ne puisse être déduite de la divulgation du code d’authentification ; il ne doit pas être non plus possible de générer un nouveau code d’authentification en se basant sur un autre code d’authentification généré au préalable et enfin le code d’authentification ne doit pas pouvoir être falsifié. D’autre part, les mêmes PSP paiement doivent veiller à ce que l’authentification au moyen de la génération d’un code d’authentification intègre un certain nombre de mesures, et notamment le fait que le nombre de tentatives d’authentification infructueuses consécutives au bout duquel les actions seront bloquées à titre temporaire ou permanent ne dépasse pas cinq au cours d’une période donnée. Notons, dans ce dernier cas, qu’il est nécessaire que le payeur soit averti avant que le blocage ne devienne permanent. En outre, lorsque le blocage est rendu justement permanent, une procédure sécurisée doit être nécessairement mise en place pour permettre au payeur d’utiliser à nouveau les instruments de paiement électronique ainsi bloqués.
15. Par ailleurs, concernant plus particulièrement les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4, doit comporter des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés[17]. Cette exigence est alors précisée par l’article 5 règlement délégué n° 2018/389 du 27 novembre 2017. Ainsi, lorsqu’ils appliquent la procédure d’authentification forte du client, les prestataires de services de paiement doivent prendre des mesures de sécurité qui satisfont à un certain nombre d’exigences visées par l’article. Tout d’abord, le payeur doit être informé du montant de l’opération de paiement et du bénéficiaire. De plus, le code d’authentification généré est nécessairement spécifique au montant de l’opération de paiement et au bénéficiaire approuvé par le payeur lors de l’initiation de l’opération. En outre, le code d’authentification accepté par le prestataire de services de paiement correspond au montant spécifique initial de l’opération de paiement et à l’identité du bénéficiaire approuvé par le payeur. Pour finir, toute modification du montant ou du bénéficiaire entraîne l’invalidation du code d’authentification généré.
16. PayPal permet d’illustrer ces règles. En effet, tout paiement sur un site tiers avec l’aide de son compte PayPal « réveille » son application PayPal sur son smartphone afin d’être informé du site et du montant de paiement ainsi que de l’adresse de livraison. La manifestation du consentement au paiement se fera alors, selon les cas, en ligne avec un renvoi PayPal au moment du paiement (on retombe alors sur les vérifications PayPal) ou, plus simplement, sur smartphone grâce à une application mobile utilisant la reconnaissance faciale pour valider le paiement (par le biais de la connexion à son compte et si l’option paiement « one touch » n’a pas été activée). Le e-commerce voit ici son importance grandir sur le smartphone.
17. Enfin, l’article L. 133-4, f, du Code monétaire et financier prend soin de déclarer que les deux éléments (minimums) choisis doivent être indépendants entre eux. Comme l’indique cet article, « la compromission de l’un ne remet pas en question la fiabilité des autres ». Cette exigence est longuement précisée par l’article 9 du règlement délégué du 27 novembre 2017.
18. Mais dans quels cas cette authentification s’impose ? Les dispositions du Code monétaire et financier, telles que modifiées par l’ordonnance n° 2017-1252 du 9 août 2017, répondent désormais à cette interrogation. Elles devraient avoir des conséquences pratiques importantes.
II. Le champ d’application de l’authentification forte
19. Il découle de l’article L. 133-44, I, que cette authentification forte devra être obligatoirement appliquée dans trois cas[18]. Il en ira ainsi, tout d’abord, lorsque le payeur accédera à son compte de paiement en ligne. La même solution s’imposera, ensuite, lorsque le payeur initiera une opération de paiement électronique. Enfin, cette authentification sera exigée lorsque ce même payeur exécutera une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse[19].
20. L’article 4, § 1, du règlement délégué du 27 novembre 2017 précise ici que le code d’authentification en question « n’est accepté qu’une seule fois par le prestataire de services de paiement » lorsque le payeur l’utilise dans les trois cas précités.
21. Enfin, on sait que l’ordonnance n° 2017-1252 du 9 août 2017 est à l’origine de deux nouveaux services de paiement : l’initiation de paiement et l’information sur les comptes. Pour mémoire, le premier service visé tend « à initier un ordre de paiement à la demande de l›utilisateur de services de paiement concernant un compte de paiement détenu auprès d›un autre prestataire de services de paiement »[20]. Il permet ainsi d’opérer un virement instantané, qui devrait, rapidement, remplacer les paiements par carte bancaire sur Internet, mais aussi avoir des incidences notables à l’égard des paiements de proximité. Les banques commencent, progressivement, à investir ce nouveau domaine comme en témoigne l’Instant Payment (ou virement instantané) que proposent déjà certains établissements de crédit français[21], et notamment BPCE[22] via la Caisse d’Épargne Île-de-France qui procède à des expérimentations en magasin avec paiements en caisse. Le déploiement devrait se faire, progressivement[23], sur le premier semestre 2019.
22. Le service d’information sur les comptes, quant à lui, a pour objet de « fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement »[24]. Plusieurs start-up (Bankin, Linxo, GérerMesComptes, etc.) occupent ce domaine depuis quelques mois. Quelques banques traditionnelles s’y intéressent également[25].
23. Or, la reconnaissance de ces deux nouveaux services pourrait induire des difficultés, à savoir que le payeur risquerait de se heurter à des prestataires de services de paiement multiples se « renvoyant » la responsabilité d’une opération contestée ou mal exécutée. Les nouvelles dispositions cherchent alors à supprimer un tel risque. L’article L. 133-44, IV, du Code monétaire et financier dispose, notamment, que les prestataires de services de paiement gestionnaires du compte sont tenus d’autoriser les prestataires de services de paiement fournissant un service d’initiation de paiement (PSIP) ou le service d’information sur les comptes (PSIC) à se fonder sur les procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs dans l’un des cas envisagés ci-dessus. Ainsi, ces PSIP et les PSIC doivent pouvoir bénéficier des procédures d’authentification forte du prestataire gestionnaire de compte à l’intention de leurs utilisateurs. Profiter du compte d’autrui, c’est donc aussi profiter des méthodes d’authentification d’autrui[26]. À la mi-novembre 2018, la Banque de France a annoncé qu’un consensus avait été trouvé entre les établissements de crédit et les FinTechs intéressés, à propos des conditions d’accès de ces dernières aux données des comptes bancaires des consommateurs[27].
24. Mais qu’advient-il en cas de manquement à une telle exigence par les professionnels assujettis ? Notre droit l’indique tant en présence d’opérations non autorisées que d’opérations mal exécutées. Ces dispositions sont particulièrement importantes.
25. En premier lieu, concernant les opérations non autorisées, l’article L. 133-19 du Code monétaire et financier envisage le cas particulier de la contestation des opérations de paiement passées avec des instruments de paiement dotés de « données de sécurité personnalisées ». Or, depuis l’ordonnance du 9 août 2017, cette disposition prévoit de nouveaux cas d’irresponsabilité du payeur[28], et plus particulièrement le fait que, sauf agissement frauduleux de sa part, le payeur ne supportera aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement de ce même payeur n’ait exigé l’authentification forte de ce dernier prévue par l’article L. 133-44 du code[29]. Le PSP du payeur assumera, par conséquent, l’entière dépense de l’opération en question du fait l’absence de cette dernière.
26. Mais qu’en est-il si l’absence d’authentification forte concerne le bénéficiaire (notamment le e-commerçant) ou son PSP ? L’article L. 131-19, VI, nous le dit. En effet, selon ce dernier, lorsque le bénéficiaire ou son prestataire de services de paiement n’acceptera pas une authentification forte du payeur, il se verra dans l’obligation de rembourser le préjudice financier causé au prestataire de services de paiement du payeur. Ainsi, et c’est à souligner, même dans ce cas ce dernier PSP devra rembourser, dans un premier temps, le payeur ayant contesté une opération passée. Ce n’est que dans un second temps qu’il pourra être remboursé, selon les circonstances, par le bénéficiaire ou son PSP.
27. Cette solution devrait alors avoir des conséquences en pratique, plus particulièrement sur les bénéficiaires précités qui chercheront, logiquement, à exiger une telle authentification forte. Au final, ce sont les opérations de fraude aux paiements qui devraient bénéficier de la mise en œuvre de cette authentification fraude. Les progrès relevés par l’Observatoire de la sécurité des moyens de paiement, dans son rapport du 10 juillet 2018[30], devraient donc encore se renforcer, et plus particulièrement à l’égard des paiements en ligne où des améliorations sont aujourd’hui encore attendues[31].
28. En second lieu, concernant les opérations mal exécutées, il convient de rappeler que leur régime juridique trouve son siège dans l’article L. 133-22 du Code monétaire et financier. Celui-ci fait une différence selon que l’ordre de paiement a été donné par le payeur ou que l’opération de paiement a été initiée par le bénéficiaire ou par le payeur qui donne ordre de paiement par l’intermédiaire du bénéficiaire. Or, pour l’article D. 133-4 du code, lorsque la responsabilité d’un prestataire de services de paiement, au titre de l’article L. 133-22, est imputable à un autre prestataire de services de paiement ou à un intermédiaire, le prestataire de services de paiement ou intermédiaire en question indemnise le premier prestataire de services de paiement pour toutes pertes subies ou toutes sommes payées en application de ce même article. L’article D. 133-4 prend soin alors de préciser que cette indemnisation « s’applique au cas où l’un des prestataires de services de paiement ne recourt pas à l’authentification forte du client ».
29. Pour autant, on ne saurait donner une portée illimitée à cette obligation, pour différents professionnels, de recourir à l’authentification forte. Des exceptions à son application sont en effet prévues par notre droit.
III. Les exceptions à l’authentification forte
30. Le règlement délégué (UE) n° 2018/389 du 27 novembre 2017 prévoit, par ses articles 10 et suivants, des dérogations à l’application des exigences de sécurité relatives à l’authentification forte du client, sous réserve de conditions bien définies et limitées fondées sur le niveau de risque, le montant et le caractère récurrent de l’opération de paiement et le moyen utilisé pour l’exécuter. Reprenons ces dernières[32].
31. Tout d’abord, concernant l’information sur le compte de paiement après une première authentification, l’article 10 du règlement délégué nous indique que les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client lorsqu’un utilisateur de services de paiement est limité dans son accès à un ou à deux des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées. Ces deux éléments éventuellement alternatifs sont le solde d’un ou de plusieurs comptes de paiement désignés et/ou les opérations de paiement exécutées durant les 90 derniers jours par l’intermédiaire d’un ou de plusieurs comptes de paiement désignés[33]. Des limites à cette dérogation sont néanmoins envisagées par le même article. On rappellera ici que, pour l’article L. 133-4, g), les données de paiement sensibles s’entendent des données, y compris les données de sécurité personnalisées, qui sont susceptibles d’être utilisées pour commettre une fraude.
32. De plus, à propos du paiement sans contact au point de vente, l’article 11 du même règlement délégué indique que les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initie une opération de paiement électronique sans contact, pour autant que les conditions suivantes soient remplies : le montant individuel de l’opération de paiement électronique sans contact ne dépasse pas 50 euros ; et le montant cumulé des précédentes opérations de paiement électronique sans contact initiées par l’intermédiaire d’un instrument de paiement disposant d’une fonctionnalité sans contact, depuis la date de la dernière authentification forte du client, ne dépasse pas 150 euros ; ou le nombre d’opérations de paiement électronique sans contact consécutives initiées par l’intermédiaire de l’instrument de paiement disposant d’une fonctionnalité sans contact, depuis la dernière authentification forte du client, ne dépasse pas cinq[34].
33. En outre, l’article 12 envisage, logiquement, que les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initie une opération de paiement électronique à partir d’un automate de paiement afin de régler des frais de transport ou de parking.
34. Citons encore le cas des bénéficiaires de confiance. L’article 13 du règlement délégué du 27 novembre 2017 prévoit que les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initie une opération de paiement et que le bénéficiaire figure dans une liste de bénéficiaires de confiance préalablement créée par le payeur. Bien évidemment, l’authentification forte du client s’imposera à nouveau lorsque le payeur créera ou modifiera cette liste de bénéficiaires de confiance par l’intermédiaire du prestataire de services de paiement gestionnaire de son compte.
35. L’hypothèse des opérations récurrentes n’a pas été oubliée. En effet, pour l’article 14 du texte les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client (après une première authentification présentant ce caractère) pour l’initiation de l’ensemble des opérations de paiement ultérieures comprises dans la série d’opérations de paiement récurrentes ayant le même montant et le même bénéficiaire. En revanche, les PSP appliqueront l’authentification forte du client lorsqu’un payeur créera, modifiera ou initiera pour la première fois une telle série d’opérations récurrentes.
36. En outre, mentionnons les virements entre comptes détenus par les mêmes personnes. L’article 15 du règlement délégué prévoit ici que les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initie un virement pour lequel le payeur et le bénéficiaire sont la même personne physique ou morale et les deux comptes de paiement sont détenus auprès du même prestataire de services de paiement gestionnaire du compte.
37. Quid des opérations de faible valeur ? Elles sont visées par l’article 16 du règlement[35] qui prévoit que les prestataires de services de paiement sont également autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initie une opération de paiement électronique à distance, pour autant que certaines conditions suivantes sont remplies. En effet, d’une part, le montant de l’opération de paiement électronique à distance ne doit pas dépasser 30 euros et, d’autre part, le montant cumulé des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne doit pas être supérieur à 100 euros, ou le nombre des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne doit pas dépasser cinq opérations de paiement individuelles consécutives.
38. Une autre dérogation utile est, par ailleurs, mentionnée à l’article 17 du règlement délégué : il s’agit de celle en lien avec les procédures et protocoles de paiement sécurisés utilisés par les entreprises. Ainsi, les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client à l’égard de personnes morales qui initient des opérations de paiement électronique au moyen de procédures ou de protocoles de paiement dédiés qui sont uniquement mis à la disposition de payeurs qui ne sont pas des consommateurs lorsque les autorités compétentes ont acquis la certitude que lesdits procédures et protocoles garantissent des niveaux de sécurité au moins équivalents à ceux prévus par la directive (UE) 2015/2366 du 25 novembre 2015 (DSP 2).
39. Enfin, une ultime dérogation est envisagée par l’article 18 du règlement délégué du 27 novembre 2017, et ce n’est pas la moindre : elle découle en effet de l’analyse des risques liés à l’opération. Selon cette disposition, les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client lorsque le payeur initie une opération de paiement électronique à distance que le prestataire de services de paiement considère comme présentant un faible niveau de risque conformément aux mécanismes de contrôle des opérations. Nous reconnaissons ici l’« approche par les risques » que nous retrouvons déjà en matière de lutte contre le blanchiment d’argent et le financement du terrorisme.
40. Une précision importante nous est alors donnée par ce même article 18. Une opération de paiement électronique est considérée comme présentant un faible niveau de risque lorsque l’ensemble des conditions suivantes sont remplies :
– le taux de fraude[36] pour ce type d’opération est équivalent ou inférieur aux taux de référence en matière de fraude mentionnés dans le tableau figurant en annexe pour les « paiements électroniques à distance liés à une carte » et les « virements électroniques à distance » respectivement ;
– le montant de l’opération ne dépasse pas la valeur-seuil de dérogation correspondante mentionnée dans le tableau figurant en annexe ;
– les prestataires de services de paiement n’ont décelé aucun des éléments mentionnés par l’article à l’issue d’une analyse en temps réel des risques. Il s’agit, dans ce cas, des dépenses anormales ou un type de comportement anormal du payeur ; des informations inhabituelles concernant l’utilisation du dispositif ou logiciel du payeur à des fins d’accès ; des signes d’infection par un logiciel malveillant lors d’une session de la procédure d’authentification ; un scénario connu de fraude dans le cadre de la prestation de services de paiement ; une localisation anormale du payeur et enfin une localisation du bénéficiaire présentant des risques élevés.
41. L’article 18 du règlement délégué prend soin, néanmoins, de préciser que les prestataires de services de paiement qui entendent exempter des opérations de paiement électronique à distance de l’authentification forte du client au motif qu’elles présentent un risque faible doivent prendre en considération différents facteurs liés aux risques. Il en va ainsi avec les habitudes de dépenses antérieures de l’utilisateur individuel de services de paiement ; l’historique des opérations de paiement de chacun des utilisateurs de services de paiement du prestataire de services de paiement ; la localisation du payeur et du bénéficiaire au moment de l’opération de paiement dans les cas où le dispositif d’accès ou le logiciel est fourni par le prestataire de services de paiement et enfin l’identification de comportements de paiement anormaux de l’utilisateur de services de paiement par rapport à l’historique de ses opérations de paiement. L’évaluation du prestataire de services de paiement doit alors obligatoirement intégrer l’ensemble de ces facteurs liés aux risques dans une note de risque, attribuée à chaque opération individuelle, qui permettra de déterminer s’il convient d’autoriser un paiement spécifique sans authentification forte du client. Cela fait beaucoup de données à prendre en considération. Incontestablement, ce risk scoring va très loin[37].
42. Sans surprise, le règlement délégué prévoit, par son article 20, la suspension des dérogations sur la base de l’analyse des risques liés à l’opération.
43. Dans tous les cas, un reporting est exigé en la matière. En effet, pour pouvoir faire usage des dérogations prévues aux articles 10 à 18 du règlement délégué, les prestataires de services de paiement sont tenus d’enregistrer et de contrôler un ensemble de données visées à l’article 21 pour chaque type d’opérations de paiement, en les ventilant par opérations à distance et autres opérations, au moins sur une base trimestrielle. Il en va ainsi, notamment, avec la valeur totale des opérations de paiement non autorisées ou frauduleuses, la valeur totale de l’ensemble des opérations de paiement et le taux de fraude qui en découle (une ventilation est alors exigée par opérations de paiement initiées grâce à l’authentification forte du client et au titre de chacune des dérogations). Les prestataires de services de paiement sont alors obligés de mettre les résultats de ces contrôles à la disposition des autorités compétentes et de l’ABE à leur demande. De telles exigences risquent, cependant, de se révéler compliquées à mettre à œuvre pour des acteurs relevant des FinTechs.
44. Pour conclure, avec cette authentification forte, nous voici en présence d’une exigence légale majeure. Cela a été noté, une sanction civile importante est associée à cette dernière ou plutôt à son absence de mise en œuvre. On peut également penser que l’Autorité de contrôle prudentiel et de résolution (ACPR), mais aussi la CNIL, seront intéressées par le respect scrupuleux d’une telle obligation. Pour un courant doctrinal[38], cette dernière relève désormais de la politique de conformité des établissements assujettis, « qu’ils doivent gérer dans le cadre de leur contrôle interne, sous peine de sanctions disciplinaires ».
45. Toutefois, il n’échappera pas au lecteur que nous sommes en présence d’un droit ô combien technique. Les dispositions figurant dans le règlement délégué n° 2018/389 du 27 novembre 2017 en témoignent tout particulièrement. Tous les professionnels assujettis, du petit site de e-commerce au plus grand, sauront-ils mettre en œuvre cette nouvelle obligation en restant bien en conformité avec les exigences de ce règlement ? On peut légitimement en douter tant ce dernier paraît complexe, notamment à l’égard des dérogations liées au niveau du risque. Nous ne serions donc pas étonnés de voir, dans les années à venir, du contentieux lié à cette authentification forte. Elle peut, dans tous les cas, constituer un obstacle pour certains services financiers innovants.
46. Mais une ultime interrogation se pose immanquablement en la matière. À quel moment cet encadrement juridique, réclamé de longue date par les banques, s’appliquera effectivement ? Selon l’article 34 VIII de l’ordonnance n° 2017-1252 du 9 août 2017, l’entrée en vigueur des I, II et III de l’article L. 133-44 est reportée à dix-huit mois après l’entrée en vigueur de l’acte délégué adopté en vertu de l’article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015. Or, le règlement délégué en question étant entré en vigueur le 14 mars 2018, le dispositif précité intéressant l’authentification forte ne devrait s’appliquer qu’à partir du 14 septembre 2019[39].
47. Mais l’authentification forte devrait, en réalité, s’imposer avant cette date. En effet, l’article 3 de la loi n° 2018-700 du 3 août 2018[40], de ratification des dispositions de l’ordonnance n° 2017-1252 du 9 août 2017, renvoie au pouvoir réglementaire le soin de préciser, durant cette période de transition précédant l’entrée en vigueur des règles qui nous intéresse, les conditions de cette même entrée en vigueur. L’objectif de cette disposition est d’anticiper l’application des normes techniques de réglementation visées par le règlement délégué. Ce texte n’a cependant toujours pas été adopté à ce jour.
[1] JO 16 juill. 2009, p. 11868. – N. Mathey, « La réforme des services de paiement », RD banc. fin. 2010, étude 1.
[2] JOUE n° L 319, 5 déc. 2007, p. 1. – F. Vanden Bosch et N. Mathey, « Le marché unique des services de paiement en Europe », RD banc. fin. 2007, dossier 18.
[3] JOUE n° L 337, 23 déc. 2015, p. 35 ; RD banc. fin. 2016, comm. 91, obs. A. Gourio et M. Gillouard. – Th. Verbiest et E. Corcos, La directive révisée sur les services de paiement (DSP 2) : RD banc. fin. 2016, étude 17. – P. Storrer (coord.), « DSP 2 : le futur du paiement », Banque et Droit, Hors-série, juill.-août 2016.
[4] JO, 10 août 2017, texte n° 26. – J. Lasserre Capdeville, « Nouvelle réforme des services de paiement : la “DSP 2” est transposée », JCP G 2017, 923. – P. Storrer et M. Roussille, « Transposition de la DSP 2 en droit français », Banque et Droit n° 175, 2017, p. 52. – Pour une présentation détaillée, RD bancaire et fin. 2018, dossiers 6 à 11.
[5] Loi n° 2018-700 du 3 août 2018 : JO, 5 août 2018, texte n° 4. – J. Lasserre Capdeville, « De la ratification à la reconnaissance du cash-back », JCP G 2018, 929. – P. Storrer, « Sur la loi de ratification de l’ordonnance de transposition de la DSP 2 », Revue Banque n° 824, oct. 2018, p. 92.
[6] Ce renvoi à un texte postérieur à la DSP 2 a d’ailleurs été critiqué, fort légitimement, par la doctrine. – P. Storrer, « Consultation Paper de l’ABE sur l’authentification et la communication », Revue Banque, 2016, p. 89, n° 800, p. 89.
[7] Comm. UE, règl. délégué (UE) n° 2018/389 du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication : JOUE n° L. 69, 13 mars 2018, p. 23 ; JCP E 2018, n° 12, 318 ; P. Storrer, « Derrière la DSP 2 : le règlement Authentification forte et Communication sécurisée », Revue Banque n° 820, mai 2018, p. 86. – M. Roussille, « La DSP 2 bientôt pleinement applicable : les normes techniques enfin publiées », Banque et Droit n° 179, mai-juin 2018, p. 47.
[8] Pour une étude détaillée et illustrée, V. infra, n° 9 et s.
[9] V. également, Dir. (UE) 2015/2366, art. 4, 30.
[10] On songe ici à la technique du 3D Secure.
[11] S. Poullennec, « Les banques bientôt privées de SMS pour sécuriser les paiements en ligne », Les Échos, 7 nov. 2018, p. 32.
[12] L’article 6 du règlement délégué prévoit un certain nombre d’exigences relatives aux éléments appartenant à la catégorie connaissance.
[13] Pour des précisions, Règl. délégué (UE) n° 2018/389 du 27 novembre 2017, art. 7.
[14] Pour des précisions, Règl. délégué (UE) n° 2018/389 du 27 novembre 2017, art. 8.
[15] V. Mignot, « La Banque Postale : la voix plutôt que le code secret pour valider les paiements », CBanque, 9 juin 2017.
[16] L’article L. 133-44, III, du Code monétaire et financier indique d’ailleurs que les prestataires de service de paiement sont tenus de mettre en place des mesures de sécurité adéquates afin de protéger « la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement ».
[17] C. mon. fin., art. L. 133, 44, II.
[18] V. également, Dir. (UE) 2015/2366, art. 97.
[19] Pour mémoire, L. 133-44, III, précise que les prestataires de service de paiement doivent de mettre en place des mesures de sécurité adéquates en la matière. – V. supra, note n° 14.
[20] Directive 2015/2366/UE, art. 4, pt 15
[21] Ce paiement par virement instantané (SCT Inst) s’effectue en quasi temps réel, puisque l’argent est crédité sur le compte du bénéficiaire dans un délai de 10 secondes. Une personne peut alors émettre et recevoir un virement instantané 24 heures/24, et quel que soit le jour. Le montant maximum de ce virement s’élève à 15 000 euros, et est irrévocable.
[22] K. Mellaza, « L’Instant Payment, une révolution dans le monde du paiement ? », CBanque, 23 nov. 2018.
[23] S. Poullennec, « Virement instantané : les banques françaises sur la ligne départ », Les Echos, 20 nov. 2018, p. 27.
[24] Directive 2015-2366/UE, art. 4, pt 16.
[25] Citons la Caisse d’Épargne avec Banxon son application iOS sur Android.
[26] K. Magnier-merran, « La “DSP 2” et les nouveaux services de paiement : chronique d’une “démonopolisation” bancaire annoncée », RD banc. fin. n° 2, 2018, dossier 7, n° 17.
[27] V. Mignot, « Accès aux données bancaires : un “consensus” trouvé entre banques et fintechs », CBanque, 16 nov. 2018. – On rappellera que le législateur européen a demandé aux établissements de crédit, par le règlement délégué n° 2018/389 du 27 novembre 2017, de mettre à dispositions des start-up financières du secteur des interfaces de programmation (Application Programming Interface – API). Or, ces dernières font l’objet depuis plusieurs mois d’un bras de fer entre les banques et les FinTechs, ces dernières craignant que les premières en profitent pour limiter leur accès aux données bancaires, indispensables à la bonne marche de leurs services.
[28] N. Kilgus, « L’évolution des procédures de contestation des paiements », RD banc. fin. n° 2, 2018, dossier 11.
[29] C. mon. fin., art. L. 133-19, V.
[30] J. Lasserre Capdeville, « La fraude aux moyens de paiement : état des lieux », JCP E 2018, n° 30, act. 608.
[31] À l’égard des paiements en ligne, le taux de fraude est, pour l’année 2017, de 0,161 %, soit un euro fraudé pour 620 euros payés.
[32] On notera, également, que pour le considérant 8 du règlement délégué : « En raison même de leur nature, les paiements effectués par l’intermédiaire d’instruments de paiement anonymes ne sont pas soumis à l’obligation d’authentification forte du client. Lorsque le caractère anonyme de ces instruments est supprimé pour des motifs contractuels ou législatifs, ces paiements sont soumis aux exigences de sécurité qui découlent de la directive (UE) 2015/2366 et de cette norme technique de réglementation. » Comme a pu le souligner un auteur (P. Storrer, op. cit., p. 88), cette précision pourrait donner une utilité à certains moyens de paiement anonymes.
[33] Des critiques se font entendre à propos de cette limite, très basse, de 90 jours. Elle rendrait le service d’agrégation de comptes quasiment inutilisable.
[34] Règl. délégué (UE) n° 2018/389 du 27 novembre 2017, art. 11.
[35] Cette hypothèse ne doit pas être confondue à celle qui s’adresse, spécifiquement, au paiement sans contact au point de vente. – V. supra, n° 32.
[36] Le calcul du taux de fraude est précisé par l’article 19 du règlement délégué.
[37] P. Storrer, « Derrière la DSP 2 : le règlement Authentification forte et Communication sécurisée », Revue Banque n° 820, mai 2018, p. 88.
[38] M. Roussille, « La DSP 2 bientôt pleinement applicable : les normes techniques enfin publiées », Banque et Droit n° 179, mai-juin 2018, p. 49.
[39] Régl. délégué (UE) n° 2018/389, art. 38.
[40] . V. supra, note n° 2.
