Cyber-sécurité : oui, mais pas tout de suite

A partir de 2022, en France, "l'authentification forte du client" sera généralisée. Et les citoyens seront totalement transparents... Foto: Svdmolen / Wikimedia Commons / CC-BY-SA 3.0

(CP/ET/Réd) – L’Europe veut rendre le commerce électronique plus sûr et lutter contre la fraude à la carte bancaire. La preuve : avec la 2ème directive sur les services de paiement qui impose aux Etats membres de l’UE une sécurisation renforcée des moyens de paiement et des accès aux comptes en ligne par le système de « l’authentification forte du client ». Cette mesure qui aurait du entrer en vigueur le 14 septembre 2019 dans tous les pays européens, ne verra pas le jour avant 2022 en France, afin de laisser le temps aux banques et cybermarchands de se mettre en conformité. Dommage, car l’observatoire de la sécurité des moyens de paiement nous apprend que la fraude bancaire a dépassé le milliard d’euros en France en 2018. Qu’est-ce que « l’authentification forte du client » ? Quels changements pour les consommateurs ? Le Centre Européen des Consommateurs France, spécialiste des questions consuméristes européennes, donne toutes les explications.

Quelles seront les nouvelles règles pour payer en ligne ? – Jusqu’à présent, en France, le consommateur avait l’habitude de recevoir un SMS sur son téléphone pour authentifier et valider un paiement en ligne par carte. Depuis le 14 septembre 2019, tous les paiements en ligne ou accès aux comptes en ligne, auraient du passer par une double voire une triple vérification : c’est ce qu’on appelle « l’Authentification forte du client ». Pour sécuriser son paiement, le consommateur doit prouver son identité et sa volonté de payer à l’aide d’au moins deux de ces différents facteurs d’authentification :

* entrer un élément dont il est seul à en avoir connaissance (mot de passe, code secret, question secrète…) ;
* recevoir un code sur un appareil qu’il possède (téléphone, appareil connecté, carte à puce…) ;
* prouver son identité par un élément qui le caractérise : empreinte digitale, reconnaissance faciale ou vocale…

Trois types de paiement exonérés de ces nouvelles mesures – afin de sécuriser les paiements en ligne sans rendre la démarche d’achat trop compliquée, des dérogations ont été prévues. L’authentification forte ne sera pas obligatoire pour :

* Les paiements de moins de 30€ ;
* Les paiements composés de 5 transactions successives maximum ou si le montant cumulé ne dépasse pas 100€ ;
* Les paiements vers un bénéficiaire inscrit sur une « liste de confiance » (la banque pouvant refuser de placer un bénéficiaire sur cette liste en fonction de son analyse des risques) ;
* Les transactions entre 30 et 500€ à faible risque, c’est-à-dire si le taux de fraude calculé par la banque du bénéficiaire ou de l’émetteur est en dessous d’un certain seuil (jusqu’à 120 différentes informations comme la facture, le nom des produits achetés, l’adresse IP de l’ordinateur à partir duquel la commande a été passée, pourront être analysées pour évaluer le risque de cette transaction).

Une mesure repoussée en 2022 en France – Initialement prévue pour être mise en application dès le 14 septembre 2019 dans l’ensemble des pays de l’UE, la France, l’Allemagne, le Royaume-Uni, l’Italie et l’Espagne ont déjà annoncé qu’ils accordaient plus de temps aux banques, prestataires de paiement et cyber-commerçants pour se mettre en conformité avec ces nouvelles exigences.

Ainsi, l’authentification forte ne sera pas appliquée avant 2020 au Royaume-Uni, voire 2022 en France. D’ici là, l’envoi d’un code à usage unique par SMS (« 3D Secure »), utilisé couramment en France, reste en application. Et la prudence est de mise envers les (faux) e-mails (phishing) que les consommateurs pourraient recevoir concernant la mise en place de cette nouvelle mesure : les banques ne demandent JAMAIS à leurs clients de confirmer par e-mail des données personnelles.

Toutefois, ce ne sont pas que les banques qui doivent se préparer. Nous autres citoyens devons nous préparer aussi – entre autres au fait qu’à l’avenir, nous serons totalement transparents. Chaque geste, chaque déplacement et désormais, chaque achat sera enregistré, analysé, recoupé avec d’autres données nous concernant et dans quelques années, il sera même plus possible de donner un sou à un mendiant. A moins que celui-ci dispose d’un terminal ultra-sophistiqué et connecté. Brave new world…

Pour plus d’information sur les apports de la directive sur les services de paiement, cliquez sur CE LIEN !