Dès le 14 septembre 2019, toutes les transactions en ligne seront davantage sécurisées grâce à l’exigence de l’authentification forte ou à deux éléments. Zoom.
La règle de l‘authentification forte a été instaurée par la Directive européenne sur les services de paiement, adoptée le 25 novembre 2015 et entrée en vigueur le 13 janvier 2018. Cette règle qui vise principalement à renforcer la sécurité des paiements en ligne entrera en vigueur en léger différé, le 14 septembre prochain. Que prévoit-elle? Comment cette exigence impactera-t-elle notre consommation quotidienne?
Qu’est-ce que l’authentification forte?
L’authentification forte est celle qui repose sur un minimum de 2 éléments, indépendants l’un de l’autre et appartenant à deux catégories différentes.
Les éléments permettant cette authentification forte sont en effet répertoriés en 3 catégories :
- La connaissance : ce que le consommateur sait et est le seul à savoir – comme un mot de passe
- La possession : un objet que le consommateur est le seul à avoir – comme un smartphone ou un bracelet connecté sur lesquels un code de transaction va pouvoir être envoyé par l’établissement bancaire pour les transactions à distance ou qui permettront l’authentification pour les transactions de proximité
- L’inhérence : quelque chose que le consommateur est – telle qu’une empreinte digitale, ou une reconnaissance faciale ou encore une reconnaissance vocale…
Quelles sont les situations concernées?
Trois principales situations devront à l’avenir donner lieu à authentification forte :
- L’accès en ligne à son compte de paiement, par exemple pour consulter ses comptes. L’authentification forte restera valable pour 90 jours, délai au-delà duquel elle devra être renouvelée
- Une opération en ligne, qu’il s’agisse d’un paiement ou d’un virement. L’authentification forte devra alors être à usage unique.
- Une action en ligne susceptible de comporter un risque de fraude.
Quels sont les paiements concernés?
Deux niveaux de paiement sont distingués, selon qu’ils sont de proximité ou à distance. Pour les paiements de proximité sans contact, sont concernés les paiements de plus de 50€ ou 5 opérations successives ne dépassant pas 150€. Pour les paiements à distance – nos achats en ligne – les seuils sont respectivement de 30€ et 100€.
Certains paiements profitent d’une exemption, tel que le paiement à un bénéficiaire de confiance, les transactions à faibles risques, les paiements récurrents de même montant et dont le 1er paiement a bénéficié d’une authentification forte.
Autre exemption importante pour notre vie quotidienne : les paiements à des automates, notamment les péages et les parkings.
Une Directive Européenne qui vient accompagner le développement des transactions en ligne en leur garantissant une plus grande sécurité. Bien-sûr, pas mal de fournisseurs et d’établissements bancaires pratiquent déjà cette double authentification, y compris parfois pour des petits montants… On le sait, la sécurité n’a pas de prix!
Mise à jour au 3 septembre 2019
En raison de la complexité de la mise en place de l’authentification forte, notamment pour les E-commerçants, l’Autorité Bancaire Européenne a décidé de repousser l’entrée en vigueur prévue initialement pour le 14 septembre. Le nouveau calendrier n’est pas communiqué, mais on peut supposer que l’entrée en vigueur est reportée à 2020.
Mise à jour au 31 décembre 2020
Finalement, il faudra attendre mars 2021 pour la mise en place effective et complète de l’obligation d’authentification forte. Mais dès depuis le 1er octobre elle s’applique aux paiements supérieurs à 2000€.
Mise à jour au 12 mars 21
Pour l’entrée en vigueur définitive de l’authentification forte, il reste 3 paliers. Au 15 mars elle s’imposera aux paiements de plus de 250€, puis au 15 avril aux paiements supérieurs à 100€ pour s’achever au 15 mai avec les paiements supérieurs à 30€. Quasiment 2 années auront donc été nécessaires pour que cette obligation soit totalement applicable.
Mise à jour au 17 mai 21
Nouveau délai pour l’entrée en vigueur de l’authentification forte pour les paiements en ligne. Tous les paiements atteignant 30€ devaient y être soumis depuis le 15 mai, mais un délai d’adaptation supplémentaire de 4 semaines vient d’être accordé aux commerçants et aux banques.
