Les enjeux de sécurité à venir

L’Europe s’est dotée de cadres de régle­men­ta­tion et de gou­ver­nance pour assu­rer la sécu­ri­té des nou­veaux moyens de paie­ment, pro­té­ger le consom­ma­teur et accroître la concur­rence. La prio­ri­té est de géné­ra­li­ser l’au­then­ti­fi­ca­tion forte et de sécu­ri­ser l’ac­cès aux comptes de paie­ment (pro­tec­tion des don­nées tran­si­tant entre teneurs de comptes). 

Au niveau euro­péen, un nou­veau cadre de gou­ver­nance des moyens de paie­ment a été mis en place en décembre 2013, avec la créa­tion de l’ERPB (Euro Retail Pay­ments Board), dont l’objectif est de créer un mar­ché inté­gré et com­pé­ti­tif pour les paie­ments scrip­tu­raux de détail en euros. 

L’ERPB, pla­cé sous l’égide de la BCE avec la par­ti­ci­pa­tion des banques cen­trales natio­nales dont la Banque de France, réunit des repré­sen­tants de l’offre (banques, nou­veaux acteurs) et de la demande (entre­prises, admi­nis­tra­tions, consom­ma­teurs) afin de favo­ri­ser l’innovation et l’émergence de solu­tions paneu­ro­péennes inter­opé­rables dans le domaine des paie­ments de détail. 

DE NOUVEAUX ESPACES DE DIALOGUE EN EUROPE ET EN FRANCE

La sécu­ri­té est un enjeu majeur du déve­lop­pe­ment de moyens de paie­ment inno­vants et effi­caces, car elle per­met de garan­tir la confiance tant dans leur uti­li­sa­tion que dans leur accep­ta­tion comme mode de règlement. 

La BCE et l’ABE (Auto­ri­té ban­caire euro­péenne) ont donc déci­dé dès 2011 de créer et copré­si­der un espace de dia­logue réunis­sant sur ce sujet ban­quiers cen­traux et super­vi­seurs ban­caires : le forum euro­péen SecuRe Pay (Secu­ri­ty of REtail Payments). 

“ Créer un marché intégré et compétitif pour les paiements scripturaux de détail en euros ”

Ce forum a pour objec­tif d’émettre des recom­man­da­tions dans le domaine de la sécu­ri­té des paie­ments de détail et d’être force de pro­po­si­tion dans le cadre des tra­vaux régle­men­taires euro­péens menés en la matière. 

Au niveau fran­çais, une concer­ta­tion a été ini­tiée en 2014 par le gou­ver­ne­ment pour éla­bo­rer une stra­té­gie per­met­tant de mieux répondre aux besoins des uti­li­sa­teurs, de déve­lop­per à la fois inno­va­tion et com­pé­ti­ti­vi­té dans l’industrie fran­çaise des paie­ments, de ren­for­cer la sécu­ri­té et d’améliorer la gou­ver­nance des paie­ments de détail. Cette concer­ta­tion a abou­ti en avril 2016 à la créa­tion du Comi­té natio­nal des paie­ments scrip­tu­raux (CNPS), pré­si­dé par la Banque de France. 

Tout comme l’ERPB avec lequel il assure le lien, le CNPS garan­tit une repré­sen­ta­tion équi­li­brée de l’offre et de la demande et a pour mis­sion prin­ci­pale de mettre en œuvre la stra­té­gie natio­nale des paiements. 

D’autre part, l’Observatoire de la sécu­ri­té des cartes de paie­ment (OSCP) créé par la loi en 2001 a été élar­gi aux autres moyens de paie­ment scrip­tu­raux fin décembre 2016. Il devient l’Observatoire de la sécu­ri­té des moyens de paie­ment (OSMP) et a pour mis­sion d’assurer un sui­vi de la fraude et d’émettre des recom­man­da­tions de sécu­ri­té aux acteurs du domaine des paiements. 

En conclu­sion, tant aux niveaux euro­péen que fran­çais, la gou­ver­nance est désor­mais à même de déter­mi­ner les orien­ta­tions poli­tiques majeures pour l’émergence de moyens de paie­ment inno­vants et effi­caces, et d’assurer leur sécu­ri­té, condi­tion indis­pen­sable à leur développement. 

DES TEXTES POUR PROTÉGER LE CONSOMMATEUR ET ACCROÎTRE LA CONCURRENCE

L’Europe dis­pose depuis 2007 avec la Direc­tive sur les ser­vices de paie­ment, com­plé­tée en 2009 avec la deuxième Direc­tive sur la mon­naie élec­tro­nique, d’un cadre juri­dique har­mo­ni­sé concer­nant la pres­ta­tion de ser­vices de paie­ment autour des moyens de paie­ment que sont la carte, le vire­ment et le prélèvement. 

La BCE et l’ABE (Auto­ri­té ban­caire euro­péenne) ont déci­dé dès 2011 de créer et copré­si­der le forum euro­péen SecuRe Pay (Secu­ri­ty of REtail Pay­ments). © GOODSTOCK / FOTOLIA.COM

En paral­lèle de la volon­té d’accroître la concur­rence dans le sec­teur en favo­ri­sant de nou­veaux entrants, ces direc­tives ont intro­duit des dis­po­si­tions par­ti­cu­liè­re­ment pro­tec­trices pour le consom­ma­teur, avec notam­ment, lors d’une contes­ta­tion d’un client, le rem­bour­se­ment immé­diat des opé­ra­tions non auto­ri­sées (jusqu’à treize mois après l’événement) et la res­pon­sa­bi­li­té de la preuve confiée au pres­ta­taire de ser­vices de paiement. 

La deuxième Direc­tive sur les ser­vices de paie­ment (DSP2), publiée en jan­vier 2016 et qui sera trans­po­sée en droit natio­nal en jan­vier 2018, a confir­mé cette approche, en intro­dui­sant tout d’abord une nou­velle caté­go­rie d’entrants, les ini­tia­teurs de paie­ment et les agré­ga­teurs d’information.

Les pre­miers sont des inter­mé­diaires qui ont la capa­ci­té d’initier des paie­ments, le plus sou­vent des vire­ments, depuis le compte de banque en ligne du client, et pro­posent ces offres de paie­ment aux com­mer­çants en ligne comme une alter­na­tive pos­sible au paie­ment par carte ou par por­te­feuille électronique. 

Les seconds pro­posent un ser­vice de conso­li­da­tion des infor­ma­tions des dif­fé­rents comptes de paie­ment qu’un client peut déte­nir auprès d’autres pres­ta­taires de ser­vices de paie­ment. En paral­lèle de cette ouver­ture de l’accès aux comptes de paie­ment par un tiers, la Direc­tive défend un objec­tif d’amélioration de la sécu­ri­té des paie­ments, arti­cu­lé autour de deux axes : la géné­ra­li­sa­tion des dis­po­si­tifs d’authentification forte du payeur, et la sécu­ri­sa­tion de l’accès aux comptes de paie­ment par les nou­veaux acteurs. 

GÉNÉRALISER L’AUTHENTIFICATION FORTE

La DSP2 vise en effet à sys­té­ma­ti­ser le recours à un dis­po­si­tif d’authentification forte du client lors de l’accès à un compte ou d’une opé­ra­tion de paie­ment élec­tro­nique, qu’elle soit réa­li­sée à dis­tance (sur Inter­net) ou en proxi­mi­té. Cette authen­ti­fi­ca­tion consiste par exemple à deman­der un code non rejouable par SMS à un client lorsqu’un vire­ment en ligne est effec­tué depuis son compte ou lors d’un achat par carte sur Internet. 

“ Les initiateurs de paiement et les agrégateurs d’information forment une nouvelle catégorie d’entrants ”

Cette approche de sécu­ri­sa­tion des accès et paie­ments sur Inter­net n’est en réa­li­té pas nou­velle : grâce aux tra­vaux de l’OSCP, un état des lieux pré­cis de la fraude a pu très tôt être éta­bli pour la carte, en consta­tant que les paie­ments à dis­tance repré­sentent la majo­ri­té de la fraude totale pour cet instrument. 

La France a ain­si pu être force de pro­po­si­tion au niveau euro­péen pour pro­mou­voir le recours à l’authentification forte du por­teur pour les paie­ments en ligne, stra­té­gie prô­née par l’OSCP dès 2009, reprise au niveau euro­péen par le forum SecuRe Pay en 2013 puis l’ABE en 2014 et au cœur des dis­po­si­tions de la DSP2. 

SÉCURISER L’ACCÈS AUX COMPTES DE PAIEMENT

Concer­nant la sécu­ri­sa­tion des nou­veaux ser­vices d’agrégation d’information et d’initiation des paie­ments, la DSP2 défi­nit des exi­gences tech­niques quant aux com­mu­ni­ca­tions et aux don­nées tran­si­tant entre les teneurs de comptes, les nou­veaux entrants et leurs clients. 

Ces exi­gences consti­tuent le cahier des charges de ce qui est com­mu­né­ment appe­lé une inter­face de com­mu­ni­ca­tion sécu­ri­sée entre les acteurs tiers et les éta­blis­se­ments teneurs de comptes. 

METTRE EN ŒUVRE DE NOUVELLES RÈGLES

Les tra­vaux de défi­ni­tion régle­men­taire de ces deux dis­po­si­tions de sécu­ri­té, authen­ti­fi­ca­tion forte et inter­face de com­mu­ni­ca­tion sécu­ri­sée, ne sont tou­te­fois pas achevés. 

“ Mettre en œuvre des mesures de sécurité réglementaires – dans un contexte où celles-ci ne sont pas encore stabilisées ”

La Direc­tive pré­voit l’élaboration d’un texte de deuxième niveau confiée à l’ABE et venant pré­ci­ser les prin­cipes avan­cés au sein de la DSP2. En ce qui concerne l’authentification forte, un cer­tain nombre de déro­ga­tions devraient ain­si être pos­sibles, notam­ment en pre­nant appui sur une ana­lyse de risque de la tran­sac­tion et sur des seuils en des­sous des­quels cette sécu­ri­sa­tion ne sera pas obligatoire. 

Publié par l’ABE en février 2017, ce texte doit tou­te­fois encore être vali­dé par la Com­mis­sion mais aus­si le Par­le­ment et le Conseil euro­péens cou­rant 2017. Une fois approu­vées, ces dis­po­si­tions seront appli­cables aux pres­ta­taires de ser­vices de paie­ment au terme de dix-huit mois, ce qui à ce stade signi­fie vrai­sem­bla­ble­ment fin 2018, début 2019. 

De ce fait, la mise en œuvre com­plète des dis­po­si­tions de sécu­ri­té pré­vues par la DSP2 sou­lève deux pro­blé­ma­tiques majeures : d’une part, la capa­ci­té du mar­ché à se pré­pa­rer à la mise en œuvre des mesures de sécu­ri­té règle­men­taires – dans un contexte où celles-ci ne sont pas encore sta­bi­li­sées ; d’autre part, le régime tran­si­toire appli­cable entre les entrées en appli­ca­tion de la DSP2 en jan­vier 2018 et des exi­gences de sécu­ri­té défi­nies par des textes régle­men­taires de second niveau, ce second point étant par­ti­cu­liè­re­ment sen­sible en ce qui concerne les condi­tions d’exercice des acteurs tiers durant cette période. 

UN DÉFI POUR LES INSTANCES EUROPÉENNES ET NATIONALES

Face aux enjeux induits par la DSP2, les ins­tances de gou­ver­nance euro­péennes et fran­çaises auront un rôle cen­tral à jouer tout au long des deux années à venir pour évi­ter une frag­men­ta­tion du mar­ché et assu­rer la mise en œuvre de l’authentification forte par les acteurs de marché. 

Face aux enjeux induits par la DSP2, les ins­tances de gou­ver­nance euro­péennes et fran­çaises auront un rôle cen­tral à jouer.
© ARTJAZZ / FOTOLIA.COM

L’émergence des ini­tia­teurs et agré­ga­teurs de paie­ment, cou­plée à l’obligation de mise en œuvre d’interfaces sécu­ri­sées par les éta­blis­se­ments teneurs de comptes pour sup­por­ter les échanges avec ces nou­veaux acteurs, sou­lève un risque de frag­men­ta­tion : dans l’hypothèse où un grand nombre d’interfaces dif­fé­rentes, res­pec­tant toutes les prin­cipes de sécu­ri­té éta­blis, venaient à être déployées, la capa­ci­té pour les acteurs tiers d’opérer au niveau paneu­ro­péen pour­rait être obérée. 

L’ERPB se doit par consé­quent de coor­don­ner l’action des par­ties pre­nantes et de déve­lop­per une approche paneu­ro­péenne sur le sujet. Des tra­vaux en ce sens ont d’ailleurs été enga­gés depuis début 2017 et le CNPS s’inscrira dans leur pro­lon­ge­ment au niveau français. 

Concer­nant les règles appli­cables à l’authentification, SecuRe Pay, via les échanges entre ses membres, a la capa­ci­té d’accompagner les acteurs de mar­ché afin qu’ils puissent offrir des solu­tions de sécu­ri­sa­tion conformes au niveau atten­du par la Direc­tive. Au niveau fran­çais, l’OSMP dis­pose d’un atout sup­plé­men­taire puisqu’il réunit jus­te­ment les prin­ci­paux acteurs de mar­ché autour de ces enjeux. 

Ce sera donc l’opportunité d’apporter un éclai­rage aux tra­vaux euro­péens en la matière. La Banque de France, de par sa par­ti­ci­pa­tion aux ins­tances euro­péennes d’une part, en tant que pré­si­dente du CNPS et assu­rant le secré­ta­riat de l’OSMP d’autre part, est réso­lu­ment enga­gée à contri­buer effi­ca­ce­ment à l’ensemble de ces tra­vaux à venir en lien avec la mise en œuvre de la DSP2 en Europe, en étroite concer­ta­tion avec l’ensemble des par­ties concernées.

---

Articles similaires :

Trois défis majeurs pour les banques Les enjeux indus­triels des paie­ments de grande consommation Un monde en ébul­li­tion, pas en révolution Une révo­lu­tion qui doit pro­fi­ter au déve­lop­pe­ment économique N’ayons pas peur du changement