Le 27 novembre 2017, la Commission européenne a, sur base d'un projet amendé de l'Autorité bancaire européenne (ci-après « EBA »), adopté des normes techniques de réglementation relatives aux exigences d'authentification forte du client et à la communication commune et sécurisée, en exécution de l'article 98 de la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (ci-après « PSD 2 »).
Authentification forte du client
PSD 2 impose au prestataire de services de paiement de réaliser une authentification forte de son client dans certaines circonstances. Ces exigences visent à garantir la sécurité des paiements électroniques. Le risque de fraude dans ce cadre est en effet considérable et nécessite un niveau élevé de protection (Considérant 95 PSD 2).
L'authentification forte du client est définie comme « une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l'utilisateur connaît), «possession» (quelque chose que seul l'utilisateur possède) et «inhérence» (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification» (Article 4, 30° PSD 2).
Les prestataires de services de paiement devront procéder à une authentification forte du client lorsque le payeur (c'est-à-dire le client):
- accède à son compte de paiement en ligne;
- initie une opération de paiement électronique; ou
- exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse (disposition « catch all »).
L'exigence d'authentification forte du client ne s'applique que lorsqu'un payeur (client) initie lui-même une opération de paiement électronique. En conséquence, l'initiation d'opérations de paiement électronique par le bénéficiaire dans le cadre de domiciliations ne doivent en principe pas donner lieu à une authentification forte du client. Mais lorsqu'un client a consenti à une domiciliation par voie électronique, un contrôle sur base de l'exigence d'authentification forte doit encore être effectué car cette domiciliation est bien l'exécution d'une action par le payeur (client) par un moyen de communication à distance, susceptible de comporter un risque de fraude (EBA, Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2): Final report, 23 février 2017, p. 7).
Dérogations aux exigences d'authentification forte du client
Les normes techniques de réglementation énoncent des dérogations à deux des trois hypothèses d'application des exigences d'authentification forte du client.
Premièrement, en cas d'accès par un client à son compte de paiement en ligne, l'exigence d'authentification forte ne s'applique pas lorsque cet accès est limité à la consultation en ligne et sans divulgation de données de paiement sensibles:
- du solde d'un ou plusieurs comptes ; ou
- de l'historique des paiements effectués lors des 90 derniers jours.
Les données de paiement sensibles comprennent les « données, y compris les données de sécurité personnalisées, qui sont susceptibles d'être utilisées pour commettre une fraude […] » (Article 4, 32° PSD 2).
Cette dérogation n'est toutefois pas d'application lorsque :
- le client consulte en ligne ces informations pour la première fois ;
- le dernier accès en ligne par un client à son historique de paiement ayant fait l'objet d'une authentification forte remonte à plus de 90 jours.
Deuxièmement, en cas d'initiation d'opérations de paiement électroniques, différentes dérogations aux exigences d'authentification forte sont applicables, dont nous citons deux cas.
Ne doivent pas faire l'objet d'une authentification forte, les initiations par un client d'un paiement sans contact pour autant que ce paiement réponde aux trois conditions suivantes:
- le montant individuel de la transaction n'excède pas EUR 50 ; et
- le montant cumulatif des transactions sans contact effectuées postérieurement à la dernière authentification forte n'excède pas EUR 150 ; ou
- le nombre de transactions sans contact effectuées postérieurement à la dernière authentification forte n'excède pas cinq transactions.
Ne doivent en outre pas faire l'objet d'une authentification forte, les initiations par un client d'un paiement à distance pour autant que les trois conditions suivantes soient remplies :
- le montant individuel de la transaction à distance n'excède pas EUR 30 ; et
- le montant cumulatif des transactions à distance effectuées postérieurement à la dernière authentification forte n'excède pas EUR 100 ; ou
- le nombre de transactions à distance effectuées postérieurement à la dernière authentification forte n'excède pas cinq transactions.
Transposition des dispositions relatives aux exigences d'authentification forte
La plupart des dispositions de PSD 2 doivent être transposées au plus tard le 13 janvier 2018. Les dispositions relatives aux exigences d'authentification forte du client ne doivent être transposées qu'au plus tard dix-huit mois après l'entrée en vigueur des normes techniques de réglementation de l'EBA. On estime que les dispositions de PSD 2 relatives aux exigences d'authentification forte ne devraient être transposées qu'aux alentours du 1er septembre 2019.