Services de paiement

Face à l'évolution des pratiques bancaires et des paiements en ligne, l'Europe a décidé de régulariser et sécuriser le secteur en 2015 avec la 2ème directive sur les services de paiement entrée en vigueur le 13 janvier 2018.

Mise à jour : sept. 2019

De nouveaux acteurs dans le secteur des services financiers européens

La directive met fin au monopole des banques : si le client donne son accord, ses données bancaires peuvent être transmises à un autre prestataire de paiement que sa banque afin de payer un achat en ligne, gérer son argent (obtention d'un crédit), participer à un financement collectif, une cagnotte en ligne...

L'ouverture du marché à d'autres prestataires implique une plus grande concurrence et donc vraisemblablement une baisse des tarifs des services offerts : une bonne nouvelle pour les consommateurs.

Des obligations d'informations renforcées

Les professionnels (banque ou prestataires de paiement) doivent informer de façon claire et non ambigüe le consommateur sur le paiement en ligne à venir. Par exemple, avant d'entrer ses données bancaires pour participer à un concours en ligne pour gagner un Smartphone à 1€, le consommateur devra être clairement informé que sa participation entraîne le prélèvement de 39 € par mois sur son compte et ce pour une durée illimitée.

Des frais en moins pour les consommateurs

Depuis le 13 janvier 2018, les frais supplémentaires pour paiement par carte bancaire, virement ou prélèvement en euros sont interdits.

D'autre part, en cas de paiement non autorisé via une carte bancaire volée ou perdue, le montant de la franchise, c'est-à-dire la somme restant à la charge du client, est de 50 euros (au lieu de 150 € avant 2018).

Authentification forte du client

Les nouvelles règles

Pour lutter contre les fraudes et sécuriser les services financiers en ligne, l'Europe a prévu de nouveaux systèmes de vérification du consentement : c'est "l'authentification forte du client".

Pour payer en ligne, accèder à sa banque en ligne, valider un virement bancaire ou toutes autres transaction financière en ligne, le consommateur devra prouver son identité et sa volonté de payer à l'aide de minimum deux de ces différents facteurs d'authentification :

  • entrer un élément dont il est seul à en avoir connaissance (mot de passe, code secret, question secrète...) ;
  • utiliser un appareil qu'il possède (SMS reçu sur son téléphone, code à scanner sur la page internet avec un appareil connecté...) ;
  • prouver son identité par un élément qui le caractérise : empreinte digitale, reconnaissance rétinienne, faciale ou vocale ou tout autre empreinte biométrique...

Le fait de renseigner son numéro carte bancaire, sa durée de validité et les 3 chiffres au dos ne sera pas suffisant pour valider un paiement en ligne par carte.

Les dérogations

Afin de sécuriser les paiements sans rendre la démarche d’achat trop compliquée, des dérogations ont été prévues. L'authentification forte ne sera pas obligatoire pour :

  • Les paiements de moins de 30€ (50€ pour les paiements sans contact) ;
  • Les paiements composés de 5 transactions successives maximum ou si le montant cumulé ne dépasse pas 100€ (150€ pour un paiement sans contact) ;
  • Les paiements vers un bénéficiaire inscrit sur une "liste de confiance" (la banque pouvant refuser de placer un bénéficiaire sur cette liste en fonction de son analyse des risques) ;
  • Les transactions entre 30 et 500€ à faible risque, c'est-à-dire si le taux de fraude calculée par la banque du bénéficiaire ou de l’émetteur est en dessous d’un certain seuil ( jusqu'à 120 différentes informations (facture, nom des produits achetés, adresse IP de l'ordinateur à partir duquel la commande a été passée, périphérique utilisé...) pourront être analysées pour évaluer le risque de cette transaction) ;
  • Les paiements à partir d’un automate comme les péages ou les parkings.

Conséquences d'un paiement sans authentification forte

Les conséquences financières d'une transaction bancaire (ex: accès aux comptes en ligne) sans authentification forte du client ne seront pas supportées par le consommateur. Son établissement bancaire devra lui rembourser les sommes indûment débitées de son compte.

En cas de paiement en ligne sur un site sans authentification forte, c'est au cybercommerçant ou à son prestataire de services de paiement de rembourser les sommes débitées au consommateur.

Application de l'authentification forte

Initialement prévue pour être mise en application dès le 14 septembre 2019 dans l'ensemble des pays de l'UE, certains pays ont décidé de laisser plus de temps aux banques, prestataires de paiement et cybercommerçants pour se mettre en conformité avec ces nouvelles exigences.

Ainsi, l'authentification forte ne sera pas appliquée avant 2020 au Royaume-Uni, voire 2022 en France par toutes les banques et cybermarchands. D'ici là, une migration progressive vers le nouveau système est prévu en France et l'envoi d'un code à usage unique par SMS (« 3D Secure »), utilisé reste en application. Et la prudence est de mise envers les (faux) e-mails que les consommateurs pourraient recevoir (phishing) concernant la mise en place de cette nouvelle mesure : les banques ne demandent JAMAIS à leurs clients de confirmer par e-mail des données personnelles.