Connexion à sa banque en ligne, paiements sur internet ou sans contact : c’est demain, samedi 14 septembre, qu’entrent officiellement en vigueur de nouvelles règles de sécurité en la matière, à la demande de l’Europe. Le point sur les changements que cela va entraîner pour vous au quotidien.

Vous avez peut-être reçu récemment un message de votre banque vous informant de l’échéance... A compter de ce samedi 14 septembre entre en application un paquet de nouvelles règles techniques issues d’un texte européen, la « directive révisée sur les services de paiement », parfois désignée par ses initiales : DSP2. En vigueur depuis janvier 2018, la DSP2 a l’ambition de faire entrer l’écosystème des paiements dans une nouvelle ère. Elle s’organise ainsi autour de deux grands objectifs :

  • améliorer la sécurité des paiements électroniques, en particulier lorsqu’ils sont initiés sur internet ;
  • desserrer la mainmise des banques sur le secteur, et favoriser la concurrence grâce à l’émergence de nouveaux acteurs.

Si l’essentiel de ces nouvelles règles concernent surtout les acteurs de l’écosystème des paiements - les banques, les prestataires spécialisés, les commerçants - qui vont devoir adapter leurs systèmes informatiques et leurs pratiques, leur mise en œuvre aura également un impact, limité mais réel, sur nos habitudes d’usagers bancaires et d’acheteurs.

Connexion à la banque en ligne

En l’espace de quelques années, le web et le mobile sont devenus les principaux canaux utilisés par les clients pour interagir avec leur banque, aux dépens de l’agence et du téléphone. C’est le cas notamment pour les virements, qui sont aujourd’hui très majoritairement initiés en ligne.

La DSP2 fait évoluer la manière dont vous vous connectez à votre espace bancaire en ligne pour réaliser ce type d’opérations sensibles. La combinaison traditionnelle d’un identifiant et d’un code secret, en effet, ne va plus suffire : à compter de samedi, vous devrez, en plus, effectuer une authentification forte, une fois au moins tous les 90 jours.

Lire aussi : Pourquoi le code secret ne va plus suffire pour se connecter à son compte bancaire

Comment va se dérouler cette authentification forte ? En renseignant, au moment de la connexion à la banque en ligne, un code secret supplémentaire à usage unique. La manière de réceptionner ce code dépendra de votre banque, et de votre équipement en outils numériques :

  • si vous disposez d’un mobile, il vous sera envoyé par SMS ;
  • si vous disposez d’un smartphone, il pourra vous être envoyé sur l’application de votre banque, après notification ;
  • dans le cas, enfin, où vous ne disposez que d’une ligne téléphonique fixe, le code vous sera envoyé sous la forme d’un message vocal.

En ce qui concerne la connexion dans l’application mobile, le changement devrait être plus transparent. La plupart de ces applications bancaires disposent déjà de l’authentification forte, soit parce que l’identifiant unique de votre smartphone a été associé à votre compte bancaire, soit parce qu’elle vous permet de vous connecter de manière biométrique, grâce à votre empreinte digitale ou à la reconnaissance de votre visage.

Paiement en ligne par carte bancaire

La généralisation de l’authentification forte, parfois désignée aussi comme une « double authentification », est au cœur des nouvelles règles de sécurité voulues par la DSP2 . Ainsi, elle va également concerner les paiements effectués par carte bancaire sur internet. Pourquoi ? « Parce que le niveau de fraude dans le commerce en ligne reste 16 fois supérieur à celui du commerce de proximité », explique Matthieu Vermot, directeur des ventes et du marketing de Dalenys, une filiale de Natixis spécialisée dans la chaîne des paiements. « L’un des objectifs de la DSP2 est de réduire cet écart. »

Qu’est-ce qui va changer dans la manière de régler vos achats sur Amazon, Cdiscount, eBay et compagnie ? Avec la DSP2, la combinaison actuelle du numéro de carte bancaire, de sa date de validité, du cryptogramme à 3 chiffres et, parfois, d’un code unique reçu par SMS ne suffit plus. Ce dernier est d’ailleurs appelé à disparaître. Il vous faudra confirmer le paiement par une autre moyen : un code secret, à renseigner sur la page de paiement au moment de l’achat, ou dans l’application mobile de votre banque.

Ce mode d’authentification, par ailleurs, ne sera pas exigé à chaque paiement. Il existera en effet des cas d’exemptions :

  • si le montant est inférieur à 30 euros ;
  • si le taux de fraude du e-commerçant est faible ;
  • s’il s’agit d’un paiement récurrent (abonnement Netflix ou Spotify par exemple) ;
  • si vous avez déclaré ce e-commerçant comme étant un site de confiance ;
  • etc.

Un délai supplémentaire de trois ans

Ces nouveautés, toutefois, ne sont pas pour tout de suite. La Banque de France a en effet confirmé que les e-commerçants et les banques tricolores allaient disposer d’un délai supplémentaire de 3 ans, jusqu’en 2022, pour les mettre en œuvre. D’ici là, les méthodes actuelles (le code SMS notamment) seront toujours tolérées.

Dans l’intervalle, l’écosystème va pouvoir achever d’adapter ses systèmes, mais surtout communiquer auprès des consommateurs : selon un récent sondage, 6 Français sur 10 n’ont jamais entendu parler de la double authentification (1).

Paiement par carte sans contact

La nécessité d’une authentification forte s’applique également aux paiements dits de proximité, c’est-à-dire ceux que vous effectuez dans les magasins physiques.

Rien ne va changer pour les paiements traditionnels, avec introduction de la carte dans le terminal et code secret : il s’agit d’une authentification forte au sens de la DSP2. Ce n’est pas le cas, en revanche, pour le paiement sans contact, en l’absence d’utilisation du code secret. Pour éviter de lui retirer tout intérêt en vous contraignant à taper votre code à chaque achat, l’Europe a prévu pour lui une exception. L’authentification forte, dont l’insertion de la carte, ne sera obligatoire que dans 2 cas :

  • après 150 euros de paiement consécutifs cumulés ;
  • ou après 5 opérations consécutives depuis la date de la dernière authentification forte.

Cela ne devrait pas changer grand chose pour vous au quotidien : nombre de banques appliquent déjà ces plafonds. Pour les éviter, il existe toutefois une solution, pour ceux qui en ont la possibilité : payer avec son mobile. Là, pas de plafond, grâce notamment à l’authentification biométrique (empreinte digitale ou visage).

(1) Etude en ligne, réalisée par Enov pour Dalenys du 3 au 18 août 2019 auprès de 1 005 acheteurs en ligne âgés de 18 ans et plus.