Jamais les achats en ligne n’auront été aussi sécurisés. La nouvelle norme de sécurité votée en 2015 par le Parlement européen, et repoussée à plusieurs reprises, sera définitivement appliquée à compter de ce samedi 15 mai. A cette date, (quasiment) tous les paiements par carte bancaire effectués en ligne devront être sécurisés par une authentification renforcée, avec pour objectif de sécuriser encore davantage les achats et réduire la fraude en ligne. “Cette directive s’applique depuis 2018, sauf pour l’un des points les plus importants du texte : le système d’authentification forte, souligne Bruno Joux, associé au sein d’Exton Consulting et spécialiste des paiements. La complexité de cette question couplée au manque de clarté des textes européens a nécessité la mise en place de groupes de travaux supplémentaires”.
Alors que 2020 aura fait la part belle aux transactions sur internet, la directive européenne des services de paiement (DSP2) contraint en effet les banques à valider une transaction avec non plus un, mais deux facteurs de nature distincte. Il peut s’agir d’une donnée connue (un code), détenue (une autorisation envoyée sur un mobile), ou constitutive du client (une empreinte digitale ou le visage par exemple). “Les banques ont déjà entrepris de nombreuses actions en ce sens, à la fois en communiquant et en équipant massivement leurs clients de dispositifs conformes à la nouvelle réglementation”, rappelait récemment la Fédération bancaire française. La plupart des établissements bancaires l’ont en effet anticipé et ont mis en place leur système d'authentification forte. On le retrouve sous le nom de “Certicode Plus” à la Banque postale ou encore “Secur'Pass” chez la Caisse d’épargne ou la Banque populaire.
Le smartphone est essentiel
Concrètement, dans ces banques, il vous est demandé de confirmer votre achat via une notification envoyée sur votre smartphone, puis de finaliser l’opération en vous connectant à l’application mobile de votre banque. Ce modèle devrait être suivi par l’écrasante majorité des enseignes.
>> Notre service - Économisez jusqu’à 300 euros par an en testant notre comparateur de tarifs bancaires
Sous la surveillance de la Banque de France, les établissements ont également l’obligation de proposer une solution alternative gratuite aux clients non munis de smartphone. Comme le relève le site Moneyvox, la plupart ont fait le choix d’utiliser des solutions vous demandant par SMS d’entrer un code à usage unique ainsi qu’un autre code que vous êtes le seul à connaître (vos identifiants bancaires par exemple). Mais certains établissements n’ont pas encore finalisé cette solution. Ce serait le cas du Crédit agricole et sa filiale LCL, ou encore la Société générale et le Crédit du Nord.
Des exceptions sont prévues
La date du 15 mai sera d’autant plus importante qu’elle constitue la dernière étape d’une réforme à plusieurs temps. Le plancher des montants soumis à la norme d’authentification forte a progressivement été abaissé. Si en octobre 2020, il était fixé à 2.000 euros, ce minimum est passé à 1.000 euros en janvier, puis 500 euros en février 2021, et 250 euros en mars. Fixé à 100 euros depuis le 15 avril, il concernera donc tous les achats à partir de la mi-mai. “On entre dans le vif du sujet, car 85% des achats en ligne sont inférieurs à 100 euros”, note Bruno Joux.
Afin de ne pas trop encombrer le parcours d’achat du client, et surtout pour rassurer les commerçants inquiets de l’arrivée de telles contraintes, la DSP2 a prévu des exemptions à cette obligation d’identification forte. Les prestataires de services de paiement sont en effet autorisés à effectuer une analyse du risque en temps réel afin d’ignorer cette étape. “La vérification se fera au travers d’un nouveau langage informatique qui permettra de récolter beaucoup plus de données, et ainsi évaluer le niveau de risque du paiement”, explique Bruno Joux. Parmi les indicateurs qui retiendront l’attention figure le taux de fraude. S’il ne dépasse pas 0,13% (chez la banque du commerçant) dans le cas d’une transaction de moins de 100 euros, alors l’authentification forte n’aura pas nécessairement à être appliquée. Les abonnements à un montant fixe sont aussi compris dans la liste des exceptions. Qu’il s’agisse d’un opérateur télécom ou d’un fournisseur d’énergie par exemple, l’authentification sera requise lors du premier règlement, mais pas forcément lors des suivants.
La crainte des e-commerçants
Les commerçants et artisans s’en souviennent encore. Un vent de panique avait soufflé sur leur activité en 2009, lors de l’application du premier volet de la directive européenne sur les services de paiement (DSP1). Cette dernière avait généralisé l’envoi d’un SMS contenant le code de confirmation du paiement, le fameux système “3-D Secure”, sans que les clients ou les professionnels eux-mêmes ne soient au courant. "Beaucoup d'e-commerçants avaient constaté une forte chute de leur chiffre d'affaires et de leur vente”, se souvient Bruno Joux. “Le risque que la DSP2 fasse à nouveau chuter les ventes n’est pas écarté”, confie un spécialiste du sujet.
Inscrivez-vous gratuitement pour accéder aux articles exclusifs des 30 ans de Capital
Ou je vais sur