Pour autant, alors même que la majorité des entreprises sur le marché auraient besoin de plusieurs mois devant elles afin de s’adapter en bonne et due forme à ce premier changement, une nouvelle directive européenne emboîte le pas et vient apporter de nouvelles contraintes supplémentaires.
La DSP2 ou Directive Européenne sur les Services de Paiement numéro 2 est en fait entrée en vigueur dès le 13 janvier 2018. Cependant, la majorité des nouvelles règles qu’elle implique ne seront obligatoires qu’à compter du mois de septembre 2019, ce qui laisse encore un peu de marge aux entreprises déjà débordées.
Cette dernière vient donc renforcer la sécurité des internautes, et plus précisément de leurs achats effectués en ligne, comme son nom l’indique.
Pour ce faire, la DSP2 s’appuie sur trois sujets majeurs, à savoir :
- La communication sécurisée entre les banques et les Third Party Providers (TPP)
- L’obligation de l'authentification forte pour la consultation des comptes et les opérations engageantes
- Le renforcement des droits des consommateurs
Qu’est-ce que les Third Party Providers ?
Un TPP, c’est un prestataire tiers, fournisseur de services en ligne, en rapport avec votre banque dans ce cas précis. A titre d’exemples, ce sont des applications telles que : Bankin, Linxo ou encore Budgea…
On retrouve deux types de services proposés :
- AISP (Account Information Service Provider)
Permet aux clients de réunir un sein d’une même interface l’ensemble des informations de leurs différents comptes bancaires
- PISP (Payment Initiation Service Provider)
Permet d’initier des paiements via ses comptes sans besoin d’avoir les détails de carte bancaire
Le premier point énuméré ne concerne donc pas les entreprises classiques mais uniquement les prestataires tiers et les banques. Ces dernières devront trouver un moyen de mettre en place un système de partage des informations qu’elles détiennent concernant les données de paiement des clients, à destination des TPP, et ce de manière sécurisée bien évidemment.
Qu’est-ce que l’authentification forte ?
Ce point-ci renvoie en revanche directement à un travail à faire de la part des entreprises.
L’authentification forte est le fait de combiner plus d’un facteur d’authentification de nature distincte, et ce parmi trois grandes catégories :
- Connaissance: ce que vous savez, tel un mot de passe, un code PIN…
- Possession: ce que vous avez sur vous, tel que votre téléphone, clé physique…
- Biométrie: ce que vous êtes, telle qu’une empreinte digitale ou reconnaissance faciale…
A l’avenir, cette authentification à (au moins) deux facteurs sera requise pour chaque opération financière qualifiée « d’engageante », c’est-à-dire pour des montants supérieurs à 30€. De plus, le consommateur devra renouveler la manière dont il s’authentifie tous les 3 mois.
Tout cela doit bien évidemment être mis en place par les entreprises, car actuellement quasiment aucune ne propose la double authentification lors d’achats online.
Le but de cette démarche est de réduire les fraudes dans le domaine de l’e-commerce, à un moment ou ces dernières se font de plus en plus nombreuses avec le temps.
De quoi parle-t-on lorsque nous abordons le « renforcement des droits des consommateurs » ?
Ce point-ci concerne à nouveau les banques, avec notamment :
- L’interdiction de surfacturation lors des paiements par carte de crédit
- Délais de remboursement raccourcis voire effacés
- L’abaissement de la franchise payée par le client en cas de paiement frauduleux (passant de 150€ à 50€)
En clair, d’ici le mois de septembre beaucoup de choses vont changer, amenant du pain sur la planche aux banques mais aussi aux entreprises qui se voient déjà débordées dans la course à la conformité RGPD.
Il va donc falloir redoubler d’efforts, mais il n’est jamais trop tard pour recevoir un petit coup de pouce en optant pour une solution clé en main telle qu’Axeptio qui se chargera de votre premier problème : le RGPD.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.