À partir du 14 septembre, pour tout paiement supérieur à 30€, les sites e-commerce devront utiliser des méthodes d’authentification forte du client. Les points à retenir, par Hervé de Kermadec, Président de Webhelp KYC Services.

C’est une directive européenne. Appelée PSD2 – ou (UE) 2015/2366 révisée – elle a été publiée en janvier 2018, mais voit certains de ses articles s’appliquer plus tard.

Ainsi, à partir du 14 septembre 2019, dans les États membres, les prestataires de services de paiement devront appliquer l’authentification forte de leur client au moment du paiement.

Rappelons que l’authentification forte repose sur la combinaison d’au moins 2 éléments d’identification.

Comme le résume très clairement Me Etienne Wéry, avocat en droit des technologies (Barreaux de Bruxelles et de Paris), ces 2 éléments sont à choisir parmi les 3 suivants :

  • quelque chose que seul l’utilisateur connaît (p. ex. son code secret ou le nom de son film préféré),
  • quelque chose que seul l’utilisateur possède (p. ex. un code unique envoyé par SMS ou par courrier recommandé),
  • quelque chose que l’utilisateur est (p. ex. son empreinte digitale ou sa reconnaissance faciale).

Le plus souvent, l’authentification forte repose sur les 2 premiers éléments : typiquement, l’entrée d’un code secret, suivi de la saisie du code envoyé en retour par SMS par l’établissement de paiement.

Notons au passage que le système 3D-Secure n’est donc pas le seul valide dans le cadre d’une authentification forte.

 

Les montants de paiement concernés

Certains montants ne sont pas concernés, et en particulier :

  • ceux d’un montant inférieur à 30€
  • ceux composés de moins de 6 transactions successives ou dont le montant cumulé ne dépasse pas 100€ (ou 150€ pour un paiement sans contact)
  • ceux destinés à un bénéficiaire de confiance
  • ceux considérés comme étant à faible risque.

En cas de problème, comme le souligne Me Wéry : « Le risque est réel : le 15 septembre, la banque coupera le flux de transaction ». Dont acte !

 

A noter : Depuis la publication de cet article, certains Etats européens – dont la France – ont décidé d’accorder un délai supplémentaire aux banques et commerçants pour se conformer à la directive évoquée. Ce report est désormais prévu pour 2022, et se traduit par un plan de migration en deux temps comme l’explique la Banque de France.

 

Continuez votre lecture :