7 questions pour comprendre le renforcement juridique et technique de la sécurité des paiements en ligne

Article co-écrit avec Me Jocelyn Pitet, Avocat à la Cour le 5 janvier 2021.

L’utilisation des solutions de paiement en ligne et l’accès aux espaces bancaires sur Internet a toujours dû assurer un équilibre subtil entre sécurisation nécessaire et facilité d’utilisation. 

Leur sécurité a dû être conçue tant pour la connexion par smartphone que par accès web, depuis des lieux de connexion habituels ou en déplacement, ce qui rendait difficile l’utilisation des moyens de sécurisation les plus efficaces (certificats électroniques sur supports matériels, etc.).

Aujourd’hui, la réglementation, par la voie de la directive DSP 2, impose de revoir les niveaux de sécurisation. 

1. L’authentification dite à « double facteur » – quèsaco ?

Depuis plus de dix ans, la Banque de France préconise aux banques françaises la mise en place de solutions d’authentification renforcées, dites à « double facteur », pour l’accès aux opérations sensibles (virements vers un compte externe, etc.). 

Rappelons que cette authentification désigne une vérification de l’identité reposant sur la combinaison de deux facteurs parmi trois que sont ce que je suis (informations biométriques du type empreinte digital, reconnaissance vocale, etc.), ce que je sais (mot de passe, etc.) et ce que je suis seul à posséder (mobile, carte SIM, etc.).

Pendant longtemps, l’authentification s’est ainsi appuyée sur un mot de passe (ce que je sais), renforcé par l’envoi d’une information via SMS sur un numéro de mobile pré-enregistré (ce que je possède) : le « token SMS ». 

Depuis 2017, la sécurité réelle apportée par cette technique est discutée, en raison notamment de la multiplication des hypothèses où le SMS est reçu sur plusieurs terminaux en parallèle (tablette, téléphone, ordinateurs, etc.), ne permettant plus d’assurer qu’ils sont sous le contrôle de celui qui souhaite s’identifier, sans parler de la forte augmentation des fraudes consistant pour un tiers à transférer frauduleusement un numéro de téléphone sur une autre carte SIM en sa possession, lui permettant ainsi de recevoir le token SMS (« SIM Swapping », utilisé notamment pour prendre frauduleusement le contrôle de comptes twitter^[1]).

Avec la DSP2, le token SMS est abandonné au profit d’une authentification « forte » (« Strong Customer Authentication ou « SCA ») qui repose non seulement sur l’utilisation de deux éléments ou plus appartenant aux catégories de ce que je suis, ce que je sais et ce que je suis seul à posséder, mais impose également que ces éléments soient indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres^[2]. 

En particulier, pour les opérations de paiement électronique à distance, l’authentification du client doit comporter des éléments qui « établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés »^[3]. En d’autres termes, un code unique doit être généré, lié à la transaction concernée (montant et bénéficiaire). 

2. Quels sont les apports de la directive « DSP2 » ?

La directive dite « sur les services de paiement 2 », proposée le 24 juillet 2013 par la Commission européenne, vise notamment à renforcer les normes de sécurité des paiements en ligne dans toute l’Union européenne. Elle permet également à de nouveaux acteurs de proposer des services innovants (agrégation de comptes, initiateurs de paiement)^[4]. 

Elle a fait l’objet de discussions intenses avant son adoption le 25 novembre 2015, pour une transposition prévue de l’essentiel des règles qui était prévue au 13 janvier 2018. En France, cette directive a été transposée par l’ordonnance n° 2017-1252 du 9 août 2017^[5]. Le législateur en a profité pour encadrer le « cashback » chez les commerçants, étendre la garantie des dépôts pour renforcer la protection des clients et la mise en place d’interfaces de communication sécurisées (API).

Pour résumer, ce texte s’impose aux banques et aux opérateurs proposant des solutions de paiement^[6], et conduit celles et ceux qui paient en ligne à revoir leurs habitudes, en abandonnant progressivement la pratique du « token SMS ».

3. Vers un renforcement de la sécurisation pour l’accès aux comptes bancaires en ligne ?

L’article 97 de la DPS 2, codifié à l’article L. 133-44 du Code monétaire et financier (CMF), impose des exigences de sécurité plus strictes concernant notamment l’accès aux comptes bancaires en ligne. Le but étant de prévenir toute opération de paiement non autorisée (potentiellement frauduleuse). 

Ainsi, il est nécessaire d’appliquer une authentification forte lorsque le payeur réalise certaines opérations :

• accède à son compte de paiement en ligne ;

• initie une opération de paiement électronique ;

• exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. 

4. Vers un abandon progressif du token SMS pour la sécurité du consommateur ?

Aujourd’hui, l’outil d’authentification employé par les réseaux de cartes (Visa, MasterCard, etc.) pour vérifier les transactions s’appelle « 3D Secure » et rajoute une étape au paiement en redirigeant le payeur vers une page spécifique où une information d’identification complémentaire est demandée, notamment par le biais du token SMS. 

Selon les chiffres de l’Observatoire de la Sécurité des Moyens de Paiement, il n’y a pas eu d’explosion des fraudes lié au token SMS : en 2018, le taux de fraude restait encore inférieur à celui des paiements non certifiés (0,07 % contre 0,21 %), sachant qu’en avril 2018, 73% des commerçants en étaient équipé et que les paiements par ce biais représentent 35% de la totalité des paiements. 

Les opérateurs souhaitant se mettre en conformité devront utiliser des solutions d’authentification forte permettant de renforcer l’identification du client par d’autres moyens que le token SMS, notamment :

• En passant par l’enregistrement de l’application bancaire lors de son installation sur son téléphone, afin de les lier et de permettre de considérer que l’utilisation par le client de l’application se fait bien à partir d’un élément qu’il possède ;

• Ou encore en utilisant une évolution de 3D Secure recourant cette fois-ci à des moyens biométriques, grâce aux fonctionnalités de certains objets connectés (téléphone, montre, etc.).

Rappelons que les exceptions à cette exigence d’authentification renforcée sont nombreuses et ont été demandées par les commerçants pour fluidifier le paiement, sans faire fuir les clients devant la complexité :

• Les transactions d’un montant inférieur à 30 EUR (sauf dépassement d’un montant cumulé de 100 EUR en 24h ou de plus de 5 transactions journalières) ; 

• Les transactions dites « à risque faible », celui-ci étant évalué en fonction du taux moyen de fraudes chez l’émetteur de la carte et chez l’acquéreur qui traite la transaction ;

• Les frais d’abonnement et transactions récurrentes, à partir de la deuxième opération ; 

• Les marchands considérés par les clients comme étant de confiance et qu’ils ont inscrits sur une « liste blanche » conservée par le prestataire de service de paiement (PSP) ;

• Les transactions par téléphone ou par courrier, non concernées par la réglementation :

• Si l’émetteur du paiement ou l’acquéreur de la carte ne sont pas au sein de l’UE ;

• Les paiements par carte business.

5. Quelles sont les raisons du retard de l’application des nouvelles règles ?

Les mesures de sécurité décrites dans des normes techniques spécifiques appelées RTS – Regulatory Technical Standards^[7], qui complètent la directive (l’article 98 de la DSP2 y renvoyant), devaient quant à elles être transposées d’ici le 14 septembre 2019. 

Toutefois, sous la pression de certains États et à la suite des premiers reports obtenus par la France, le Royaume-Uni, l’Italie, l’Espagne et l’Allemagne, l’Agence Bancaire Européenne (ABE), a généralisé le 16 octobre 2019 le report de cette date jusqu’au 31 décembre 2020^[8] pour que les acteurs puissent se préparer. 

Pourquoi un tel délai ? Car les acteurs professionnels de la chaîne des paiements, y compris les e-commerçants, n’étaient pas prêts. Ils doivent en effet prévoir la mise à niveau de l’infrastructure technique « 3D-Secure » utilisée pour la gestion de l’authentification du client lors d’un paiement par carte en ligne.

En effet, une mauvaise implémentation ou le recours à des solutions techniques peu ergonomiques ou pratiques ont une sanction économique immédiate : expérience client détériorée et baisse du taux de transformation (abandons de paniers, etc.).

6. Quelles conséquences pour les commerçants ne souhaitant pas s’y soumettre ?

Le cadre juridique relatif au paiement est protecteur du payeur (le consommateur). Il plafonne et exclue leur responsabilité dans certaines hypothèses en cas d’opérations de paiement non autorisées et qui seraient consécutives à la perte ou au vol de l’instrument de paiement^[9]. 

La règle posée par la DSP 2 est également claire : sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été réalisée en l’absence d’authentification forte. Dans ce cas, c’est le bénéficiaire ou son PSP qui n’a pas implémenté le système permettant l’authentification forte du payeur qui prend en charge les conséquences de la fraude^[10]. 

Les conséquences financières sont donc importantes, d’autant que les fraudeurs attaquent par principe le maillon faible et que les effets se cumulent : si la majorité des commerçants en ligne adoptent des systèmes d’authentification forte, les fraudeurs se rendront sur les sites les moins sécurisés, qui seront tenus d’indemniser leurs clients…

7. Et où l’on reparle du RGPD : le « consentement » de la DSP2 est-il une notion unique ?

Le texte pose la question de son articulation avec le Règlement Général à la Protection des Données n°2016/679 (« RGPD ») concernant les données personnelles des utilisateurs des services de paiement.  

Cette question est éminemment discutée par les spécialistes et ferait l’objet d’un article à elle toute seule. Il suffira de retenir que ces textes utilisent les mêmes termes, notamment le « consentement au traitement » des données personnelles, mais qui doivent être interprétés différemment.

Ainsi, l’article 521-5 du CMF indique que  les PSP accèdent, traitent et conservent les données personnelles nécessaires à l’exécution de leurs services « qu’avec le consentement exprès de l’utilisateur de services de paiement ». Pour autant, ce consentement ne remplace pas la base légale fondée sur le contrat (mesures précontractuelles ou d’exécution contractuelles), il n’apparaît « que » comme une exigence supplémentaire. Le Comité Européen à la Protection des Données^[11] a ainsi précisé en juillet 2018^[12] qu’il s’agit ici d’un « consentement contractuel ». Celui-ci doit donc faire l’objet de clauses distinctes dans le contrat.

En outre, les articles L.521-5 ou L.521-6 du CMF précisent que les PSP n’ont accès qu’aux seules données personnelles nécessaires à l’exécution de leurs services de paiement, et que la communication aux personnes d’informations sur le traitement des données doit se faire conformément au RGPD. Cette précision permet d’adresser la question de la collecte de données relatives à des tiers, le CEPD précisant que la collecte et le traitement de ces données peuvent relever de l’intérêt légitime du responsable du traitement ou du tiers en l’espèce l’utilisateur du service de paiement. 

Enfin, concernant l’articulation entre les prérogatives de la CNIL et celles de l’Autorité de contrôle prudentiel et de résolution (ACPR), le texte confie le pouvoir explicite de contrôle à la CNIL concernant le respect des articles L.521-5 et L.521-6 du CMF, par dérogation à la compétence de l’ACPR (Article L. 521-7 du CMF). 

---

Article co-écrit par :

• Me Jocelyn Pitet, Avocat à la Cour ;
• et Me François Coupez, Avocat à la Cour, fondateur Level Up Legal.

---

Crédits photo : Adobe Stock

^[1] https://www.igen.fr/iphone/2019/09/sim-swapping-le-piratage-la-carte-110041.

^[2] Article L. 133-4, f) du Code monétaire et financier (CMF).

^[3] Article L. 133-44, II du Code monétaire et financier (CMF).

^[4] http://www.revue-banque.fr/risques-reglementations/article/agregateurs-informations-initiateurs-paiement-des.

^[5] Ratifiée par la loi du 25 juillet 2018.

^[6] Dans le détail, il s’agit des établissements de crédit, des établissements de monnaie électronique ou encore des établissements de paiement, cf. article 1^er de la directive.

^[7] L’Autorité Bancaire Européenne (ABE) était chargée de la rédaction de ces normes techniques, validées par la suite par la Commission européenne. Le règlement européen relatif aux normes techniques réglementaires a été publié au Journal officiel de la Commission européenne du 13 mars 2018. 

^[8] https://eba.europa.eu/eba-publishes-opinion-on-the-deadline-and-process-for-completing-the-migration-to-strong-customer-authentication-sca-for-e-commerce-card-based-payment

^[9] Article L. 133-19 du Code monétaire et financier. 

^[10] Article 74 de la DSP 2 – codifiée à l’article L.133-19 du Code monétaire et financier. 

^[11] CEPD, ex-groupe de l’article 28 sous la directive 1995/46.

^[12] Letter regarding the PSD2 Directive : https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf.