Depuis le 15 mai, l’authentification forte des paiements sur internet par carte bancaire est devenue la norme. Certaines banques, pourtant, ne proposent pas encore de solutions conformes, notamment pour les clients qui ne possèdent pas de smartphone.

L’échéance est connue de longue date, au moins depuis début 2018 précisément, lors de l’entrée en vigueur de la directive révisée sur les services de paiement. Pourtant, certaines banques ne sont pas encore prêtes.

Depuis le 15 mai, après une phase de migration progressive débutée en octobre 2020, l’authentification forte est devenue la norme pour tous les paiements en ligne par carte bancaire. Forcément, cela change les habitudes. Le code à usage unique envoyé par SMS ne suffit plus : les banques doivent mettre en place des dispositifs plus robustes et conformes à la nouvelle réglementation européenne. Pour l’essentiel, elles ont choisi de s’appuyer sur leur application mobile, via une notification envoyée sur le smartphone du client.

Problème : tout le monde ne souhaite pas installer cette application, ou ne le peuvent toute simplement pas, faute de posséder un smartphone. Selon le baromètre du numérique publiée par l’Arcep, 23% des Français de plus de 12 ans se contentaient en 2019 d’un mobile ancienne génération.

Pour éviter de les laisser sur le bord du chemin, la Banque de France a donc demandé aux enseignes de prévoir une solution alternative et gratuite. Deux, en général, ont été retenues :

  • la combinaison d’un code statique (généralement le code d’accès à son espace bancaire en ligne) et d’un code à usage unique reçu par SMS, à renseigner successivement sur la page de paiement ;
  • l’utilisation d’un boîtier externe capable de générer un code unique.

Le classement des banques les moins chères

Les banques qui ne sont pas prêtes

Malgré le temps dont elles ont disposé pour s’adapter, toutes les banques ne sont pas prêtes. Nous avons récemment fait le tour des marques pour faire le point sur les dispositifs déployés. Voici celles qui ne sont pas encore dans les clous.

La banque qui ne propose pas encore de solutions conformes à la réglementation :

  • Fortuneo

Les banques qui ne proposent pas d’alternatives conformes à la réglementation sans passer par l’application :

  • Boursorama
  • Crédits Mutuels de Bretagne et du Sud-Ouest
  • Crédit Agricole (à venir « dans les prochaines semaines »)
  • Crédit du Nord (pas avant fin 2021)
  • LCL (à venir « dans les prochaines semaines »)
  • Orange Bank
  • Société Générale (pas avant fin 2021)

Les banques qui proposent une alternative, mais qui la font payer :

  • Crédit Mutuel Alliance Fédérale (dont CIC) : 29 euros pour le boîtier Digipass.

Une tolérance pour le code SMS

Que va-t-il se passer pour les clients de ces enseignes retardataires ? Vont-ils devoir renoncer à leurs achats en ligne ? À court terme, non. D’abord parce qu’un nouveau délai, jusqu’au 15 juin, a été accordé pour la mise en œuvre pleine et entière des nouvelles règles. Ensuite parce que l’ancien système d’authentification, basé sur le code SMS à usage unique, va bénéficier d’une tolérance pendant encore quelques mois. Avec un inconvénient toutefois : les banques utilisant cet ancien système devront le déclencher pour tous les paiements, y compris de quelques euros, tandis que les autres peuvent appliquer des exemptions, notamment pour les paiements de 30 euros et moins.

Lire sur le sujet : Carte bancaire : quand peut-on éviter l’authentification forte ?