C’est le jour J. Depuis aujourd’hui, mardi 15 juin, votre banque ne peut plus reculer : elle doit mieux sécuriser vos paiements par carte sur internet. La plupart des marques ont choisi d’utiliser pour cela leur application pour smartphone. Mais comment faire si vous avez un mobile ancienne génération ?

L’authentification forte, c’est (finalement) parti ! Après avoir repoussé l’échéance d’un mois, du 15 mai au 15 juin, officiellement pour permettre aux sites marchands retardataires de se préparer, les banques françaises doivent désormais protéger les achats en ligne de leurs clients avec de nouvelles procédures plus sûres. Une obligation issue d’un texte européen, la directive révisée sur les moyens de paiement (DSP2).

Carte bancaire : ce qui change pour la sécurité de vos paiements

Un Français sur 5 sans smartphone

Comment ça se passe ? Si vous êtes amateus d’e-commerce, vous l’avez peut-être déjà expérimenté. La plupart des marques bancaires ont fait le choix de s’appuyer sur leur application mobile : vous recevez une notification vous permettant de lancer cette application et d’authentifier « fortement » avec un code secret ou un capteur biométrique (Touch ID, Face ID, etc.).

Pour autant, tout le monde ne possède pas de smartphone. C’est même un Français sur 5, environ, qui en est resté à un mobile ancienne génération. Pour éviter de les laisser au bord de la route, les régulateurs français ont donc demandé aux banques de proposer une méthode alternative et gratuite, ne nécessitant pas d’installer une application. Toutes, pourtant, n’ont pas encore de solutions conformes.

Carte bancaire : votre banque fait-elle le nécessaire pour vous protéger de la fraude ?

Les alternatives possibles

La grande majorité des marques proposent des alternatives. Deux en particulier. La première s’appuie sur un code dynamique, à usage unique, envoyé par SMS. Vous ne serez pas dépaysé : cette solution, connue sous le nom de 3D Secure V1, existe depuis longtemps. Mais elle n’est pas conforme à la DSP2 : pour qu’elle le devienne, votre banque doit également vous demander un code supplémentaire, statique celui-là. Résultat : sur la page de validation du paiement, vous devez renseigner deux codes au lieu d’un, en faisant bien attention de le faire dans le bon ordre. Pas l’idéal, mais mieux que rien.

Cette solution, toutefois, nécessite de posséder un mobile. Pour les très rares Français qui n’en ont pas, ou qui ne souhaitent pas l’utiliser pour ce type d’opérations, deux enseignes ont prévu une autre alternative. Les groupes Banque Populaire-Caisse d’Epargne (BPCE) et Crédit Mutuel Alliance Fédérale (y compris le CIC) fournissent aux clients qui le souhaitent un boîtier électronique autonome, capable de générer des codes de sécurité. Un bémol toutefois : ce boîtier, baptisé Digipass, est payant (29 euros) au Crédit Mutuel et au CIC.

Comment obtenir une carte bancaire gratuite ?

Les banques qui ne proposent pas encore d’alternatives sans appli

Certaines banques de détail semblent avoir pris leur temps pour travailler à leur conformité avec la nouvelle réglementation. Plusieurs banques, et pas des moindres, n’ont ainsi pas encore de solutions alternatives :

  • Carrefour Banque
  • le Crédit Agricole (qui la promet pour bientôt) ;
  • le Crédit du Nord et ses satellites (fin 2021)
  • la Société Générale (fin 2021)

Carte bancaire : ces banques en retard sur l'authentification forte

Une autre n’a tout simplement aucune solution conforme : le Crédit Mutuel Arkéa, qui comprend notamment les Crédits Mutuels de Bretagne et du Sud-Ouest, et la banque en ligne Fortuneo. Elle en est restée, dans l’immédiat, à l’ancien mode d’authentification, le code à usage unique à 6 chiffres. Pas très rassurant pour ses clients, qui doivent de plus entrer ce code à chaque paiement, même de quelques euros. Non conforme, le Crédit Mutuel Arkéa ne peut pas, en effet, bénéficier des exemptions prévues pour les autres, notamment pour les paiements ne dépassant pas 30 euros.

Des situations complexes pour les clients

Le manque d’anticipation de certaines banques placent parfois leurs clients dans des solutions complexes. Un lecteur de MoneyVox en témoigne sur notre page Facebook. « Concernant la DSP2 et l’authentification forte, le 15 juin est une date fatale pour les non-détenteurs de smartphone comme moi. Carrefour Banque m'a envoyé un SMS pour me signaler que sans l'appli mobile, je ne pourrai plus faire d'achats sur le net. Or la (…) DSP2 ne mentionne pas d'obligation de détenir un smartphone, mais seulement de sécuriser les transactions. Par ailleurs, elle stipule que les banques doivent proposer une alternative aux clients sans smartphone. Carrefour Banque ne semble pas avoir assimilé ce point. »