La nouvelle directive européenne : La DSP2

Pour autant, alors même que la majorité des entreprises sur le marché auraient besoin de plusieurs mois devant elles afin de s’adapter en bonne et due forme à ce premier changement, une nouvelle directive européenne emboîte le pas et vient apporter de nouvelles contraintes supplémentaires.

La DSP2 ou Directive Européenne sur les Services de Paiement numéro 2 est en fait entrée en vigueur dès le 13 janvier 2018. Cependant, la majorité des nouvelles règles qu’elle implique ne seront obligatoires qu’à compter du mois de septembre 2019, ce qui laisse encore un peu de marge aux entreprises déjà débordées.

Cette dernière vient donc renforcer la sécurité des internautes, et plus précisément de leurs achats effectués en ligne, comme son nom l’indique.

Pour ce faire, la DSP2 s’appuie sur trois sujets majeurs, à savoir :

  • La communication sécurisée entre les banques et les Third Party Providers (TPP)
  • L’obligation de l'authentification forte pour la consultation des comptes et les opérations engageantes
  • Le renforcement des droits des consommateurs

Qu’est-ce que les Third Party Providers ?

Un TPP, c’est un prestataire tiers, fournisseur de services en ligne, en rapport avec votre banque dans ce cas précis. A titre d’exemples, ce sont des applications telles que : Bankin, Linxo ou encore Budgea…

On retrouve deux types de services proposés :

  • AISP (Account Information Service Provider)

Permet aux clients de réunir un sein d’une même interface l’ensemble des informations de leurs différents comptes bancaires

  • PISP (Payment Initiation Service Provider)

Permet d’initier des paiements via ses comptes sans besoin d’avoir les détails de carte bancaire

Le premier point énuméré ne concerne donc pas les entreprises classiques mais uniquement les prestataires tiers et les banques. Ces dernières devront trouver un moyen de mettre en place un système de partage des informations qu’elles détiennent concernant les données de paiement des clients, à destination des TPP, et ce de manière sécurisée bien évidemment.

Qu’est-ce que l’authentification forte ?

Ce point-ci renvoie en revanche directement à un travail à faire de la part des entreprises.

L’authentification forte est le fait de combiner plus d’un facteur d’authentification de nature distincte, et ce parmi trois grandes catégories :

  • Connaissance: ce que vous savez, tel un mot de passe, un code PIN…
  • Possession: ce que vous avez sur vous, tel que votre téléphone, clé physique…
  • Biométrie: ce que vous êtes, telle qu’une empreinte digitale ou reconnaissance faciale…

A l’avenir, cette authentification à (au moins) deux facteurs sera requise pour chaque opération financière qualifiée « d’engageante », c’est-à-dire pour des montants supérieurs à 30€. De plus, le consommateur devra renouveler la manière dont il s’authentifie tous les 3 mois.

Tout cela doit bien évidemment être mis en place par les entreprises, car actuellement quasiment aucune ne propose la double authentification lors d’achats online.

Le but de cette démarche est de réduire les fraudes dans le domaine de l’e-commerce, à un moment ou ces dernières se font de plus en plus nombreuses avec le temps.

De quoi parle-t-on lorsque nous abordons le « renforcement des droits des consommateurs » ?

Ce point-ci concerne à nouveau les banques, avec notamment :

  • L’interdiction de surfacturation lors des paiements par carte de crédit
  • Délais de remboursement raccourcis voire effacés
  • L’abaissement de la franchise payée par le client en cas de paiement frauduleux (passant de 150€ à 50€)

En clair, d’ici le mois de septembre beaucoup de choses vont changer, amenant du pain sur la planche aux banques mais aussi aux entreprises qui se voient déjà débordées dans la course à la conformité RGPD.

Il va donc falloir redoubler d’efforts, mais il n’est jamais trop tard pour recevoir un petit coup de pouce en optant pour une solution clé en main telle qu’Axeptio qui se chargera de votre premier problème : le RGPD.