Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114

doctrine
aujourd'hui non régulé impose au
client un haut degré de confiance.
En effet, à ce jour les données de
sécurité
personnalisées
utilisées
pour garantir l'authentification du
client, par l'utilisateur de services
de paiement ou par le prestataire de
services d'initiation de paiement sont
celles délivrées par les prestataires de
services de paiement gestionnaires
de comptes (les banques), c'est-àdire en d'autres termes pour accéder
au service d'agrégation de comptes,
les clients doivent confier leurs accès
de banque en ligne y compris leur
code secret, ce qui peut notamment
avoir pour conséquence de placer un
consommateur en position de violation des conditions générales d'utilisation de l'accès en ligne à son compte
bancaire.
Les services d'initiation de paiement
(PIS : Payment initiation services)
permettent au consommateur de
demander à un intermédiaire de
présenter et d'exécuter des opérations
de paiements en leur nom auprès de
leur banque.
Ce type de service reste peu développé en France contrairement à
l'Allemagne.
L'initialisation des instructions de paiement peut être de nature à remettre en
question l'usage de la carte bancaire
dans la mesure où le paiement peut
dorénavant être initié directement à
partir des comptes du payeur qui se
borne à confirmer ses instructions. Le
commerçant est assuré d'être réglé,
tout en bénéficiant d'une réduction
des coûts de transaction et d'une
souplesse accrue.
Les dispositions de la DSP2 encadrent
la manifestation du consentement à
une opération de paiement : une
opération de paiement ne doit être
réputée autorisée que si le payeur a
donné son consentement à l'exécution
de l'opération de paiement. Le consentement est donné avant ou après l'exécution par l'intermédiaire du bénéficiaire ou du prestataire de services
d'initiation de paiement. En l'absence
de consentement, l'opération de
paiement est réputée non autorisée.

114

Le consentement doit pouvoir être
retiré par le payeur à tout moment, y
compris en cas d'exécution d'une série
d'opérations de paiement.

LA SÉCURITÉ DES
OPÉRATIONS
Le prestataire de services d'initiation
de paiement est tenu à un certain
nombre d'engagements en vue de
garantir la sécurité des opérations.
Il ne peut en aucun cas modifier le
montant, le bénéficiaire ou tout autre
caractéristique de l'opération.
Sur la sécurité des données, il est
tenu à ce que les données de sécurité personnalisées de l'utilisateur de
services de paiement ne soient pas
accessibles à d'autres parties que l'utilisateur et veille à transmettre celles-ci
au moyen de canaux sûrs et efficaces.
Il ne doit stocker aucune donnée de
paiement sensible concernant l'utilisateur de services de paiement ainsi
que plus généralement aucune des
données autres que celles nécessaires
pour fournir le service d'initiation
de paiement expressément demandée par le payeur. Le prestataire
de services d'initiation de paiement
est donc tenu à ce que l'information
relative à l'utilisateur de services de
paiement, ne soit communiquée qu'au
bénéficiaire et uniquement avec le
consentement explicite de l'utilisateur
du service de paiement.
Sur la sécurité de l'identification
garantissant la réalité du consentement de l'utilisateur, il est tenu à un
engagement d'identification en tant
que service d'initiation de paiement
auprès du prestataire de services de
paiement gestionnaire du compte du
payeur et de communication sécurisée, conformément aux normes techniques de réglementation concernant
l'authentification et la communication
établies par l'Autorité bancaire européenne (ABE) instituée par le règlement européen n° 1093/2010.
La DSP2 prévoyait que l'ABE ait soumis
les projets de normes techniques
de réglementation à la Commission
avant le 13 janvier 2017.

EXPERTISES MARS 2017

A ce jour les mesures d'authentification restent basées sur l'application d'au moins deux des éléments
suivants : un élément que seul l'utilisateur connaît (mot de passe, code
temporaire) ; ou un élément que seul
l'utilisateur possède (carte, téléphone
mobile) ; ou qui le caractérise de
manière singulière (données biométriques ou empreintes digitales...).
Cette procédure d'identification forte
est dénoncée par certains acteurs du
e-commerce en raison de sa lourdeur
et de la baisse potentielle du nombre
de conversion de ventes qu'elle peut
entraîner. En outre, sur le fondement
de l'article 97 de la DSP2, le prestataire de services de paiement doit
appliquer l'authentification forte du
client lorsque le payeur accède à son
compte de paiement en ligne ou initie
une opération de paiement, de sorte
que PSIP et PSIC devront nécessairement s'intégrer dans la chaîne d'authentification et de communication
sécurisée du prestataire de services
de paiement.

LE CONSENTEMENT EXPRÈS
DE L'UTILISATEUR
Les prestataires de services d'informations sur les comptes (PSIC) sont tenus
de recueillir le consentement exprès
de l'utilisateur et veiller à ce que les
données de sécurité personnalisées
de celui-ci ne soient pas accessibles à
des tiers.
La charge de la preuve du consentement de l'utilisateur incombera en
premier lieu au prestataire de service
de paiement comme au PSIP et PSIC
de prouver que l'opération a été
authentifiée, enregistrée et comptabilisée, sans déficience technique lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération
de paiement qui a été exécutée ou
affirme que l'opération de paiement
n'a pas été exécutée correctement.
En cas d'opération non autorisée, le
consommateur doit être remboursé le
jour suivant l'incident.
Les PSIP et PSIC ne pourront ni utiliser,
ni consulter, ni stocker des données
à des fins autres que la fourniture



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com