Paiements en ligne : une authentification forte désormais obligatoire

Le 16.12.2021 à 10:00 par Johann Zmiro, Juriste MACSF
Partager sur Facebook Partager sur Twitter Partager sur LinkedIn
Paiements en ligne

La protection des consommateurs passe par une amélioration de la sécurité des paiements électroniques. C’est la raison pour laquelle le système d’authentification 3D Secure qui a pour objet de sécuriser les paiements en ligne par carte bancaire a été mis en place en France en 2008 et permettait d’authentifier l’acheteur comme étant le porteur de la carte utilisée pour le paiement. Désormais, la loi impose une "authentification forte" des clients.

SOMMAIRE
Une protection renforcée des paiements en ligne >
Une authentification reposant sur au moins deux éléments >
Une mise en place graduée >

Une protection renforcée des paiements en ligne

Beaucoup d’établissements bancaires refusent encore des demandes de remboursements de leurs clients victimes de fraudes à la carte bancaire au motif que le système 3D Secure a été utilisé afin d’authentifier l’opération en question. 

Pourtant, un tel dispositif ne permet pas d’apporter la preuve que ces opérations ont été autorisées par le client puisqu’il peut être détourné. C’est dans cette optique que les réglementations bancaires européenne et française ont évolué. 

Désormais, l’article L. 133-44 du code monétaire et financier, entré en vigueur le 28 mai 2019, prévoit l’application de l’authentification forte en remplacement du 3D Secure. 

En outre, l'article L. 133-19 du même code prévoit désormais : "Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44.". 

Pour aller plus loin 
Victime d’hameçonnage ou phishing : peut-on contester un prélèvement bancaire ? >

Une authentification reposant sur au moins deux éléments

Le système de l’authentification forte est un procédé permettant de s’assurer de l’identité du payeur lors d’un achat sur internet.

Concrètement, lors d’un paiement en ligne, une authentification forte repose sur l’utilisation de deux éléments ou plus parmi les catégories suivantes : 

  • un mot de passe ou un code que seul l’utilisateur connaît ,
  • un appareil (téléphonie mobile, carte à puce, etc.) que seul l’utilisateur possède,
  • une caractéristique personnelle du client (empreinte digitale, reconnaissance vocal ou faciale). 

Lorsque les titulaires de carte bancaire ne disposent pas de smartphone ou ne souhaitent pas installer l’application de leur banque, des procédures spécifiques sont développées par les banques, par mot de passe couplé au code reçu par SMS ou par boîtier fourni au client permettant d’authentifier le paiement. 

En conséquence, si un client est victime d’une opération frauduleuse débitée sur son compte bancaire mais qui n’a pas été vérifiée par ce système d’authentification forte, il doit immédiatement en informer sa banque et au plus tard dans un délai de 13 mois après le débit. 

Si l’établissement bancaire ne parvient pas à démontrer l’utilisation de l’authentification forte, l’opération sera réputée "non autorisée" (article L. 133-18 du Code monétaire et financier) et la banque devra lui rembourser l’intégralité des sommes indûment débitées. 

Une mise en place graduée

La mise en place de ce système d’authentification forte a été graduée : 

  • à partir du 15 mars 2021 pour les transactions supérieures à 250 euros,
  • à partir du 15 avril 2021 pour les transactions supérieures à 100 euros,
  • à partir du 15 mai 2021 pour toutes les transactions quel que soit leur montant.

Cela signifie donc que depuis le 15 mai 2021, l’usage d’un seul code reçu par SMS ne suffit plus et doit être renforcé.

Les commerçants disposaient d’un délai de 4 semaines à compter du 15 mai afin de déployer ce dispositif. 

Les transactions d’un faible montant (moins de 30 euros) ou les paiements très réguliers (abonnements, opérations vers un bénéficiaire de confiance) pourront ne pas être concernés si le commerçant a fait une demande de dérogation.

Partager sur Facebook Partager sur Twitter Partager sur LinkedIn
Les solutions MACSF
Assurance cyber-risques

Protégez votre activité des conséquences d’une cyberattaque (compromission des données, demande de rançon, interruption d’activité…)

Assurance protection juridique

Pour être éclairé sur vos droits et défendu par nos conseillers juridiques.

La communauté MACSF

Un forum avec des professionnels de santé prêts à échanger sur vos pratiques professionnelles, votre mode d’exercice ou votre matériel…

Solliciter la communauté

L'application MACSF

Accédez à votre espace personnel et toutes ses fonctionnalités sur votre mobile !

Les newsletters

Recevez toute l’actualité sur votre profession/spécialité ainsi que nos offres dédiées.

S'abonner