Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 362

D

O

C

T

R

I

N

E

d'information des établissements
teneurs de comptes aux fins d'y
récupérer les informations de
situation de chaque compte de
paiement en vue d'en fournir une
présentation agrégée.
La régulation de cette activité
trouve sa source dans l'article
67 de la DSP2. Elle impose que
l'agrégateur s'identifie auprès de
l'établissement teneur de comptes
et qu'il communique avec ce dernier
selon des modalités standardisées
et sécurisées, qui sont décrites au
Règlement délégué 2018/389.
Les établissements teneurs de
compte doivent mettre en place
des interfaces qui permettent aux
PSIC d'accéder au seul compte de
paiement autorisé par l'utilisateur, et
réciproquement, les PSIC sont tenus
de passer par ces interfaces. Les
techniques de «  screenscraping  »
classiquement utilisées par les
agrégateurs pour accéder aux
comptes de l'utilisateur en utilisant
les authentifiants personnels de
ce dernier sont bannies, du moins
pour ce qui concerne l'accès aux
comptes de paiement (a contrario,
rien dans la réglementation actuelle
n'empêche de continuer à recourir
à cette pratique pour accéder aux
informations autres que celles des
comptes de paiement, telles que les
situations d'épargne ou d'en cours
de crédit).
Le Règlement délégué pose un
cadre rigoureux pour la sécurisation
des échanges entre établissements
teneurs de compte et prestataires
tiers :
■■ Identification de chaque acteur
à l'aide d'un certificat qualifié de
cachet électronique ou d'un certificat qualifié d'authentification de
site web conforme au règlement
européen eIDAS10 ;
■■ Sécurisation11dessessionsdecommunication au travers, notamment, du cryptage des données.
Les banques avaient l'obligation de
mettre la documentation technique
des interfaces à disposition des PSIC
six mois avant l'entrée en application

362

du
Règlement
délégué,
soit
en mars 2019, étant précisé qu'elles
disposaient de deux options pour
ces développements : soit mettre en
place une interface dédiée pour les
prestataires tiers, soit adapter l'interface banque en ligne des clients12.

■■ lorsque le client «  exécute une

Les banques doivent de plus
mettre en place une procédure
d'urgence en cas d'indisponibilité de leur interface dédiée13, aux
fins de ne pas pénaliser indûment
les fintechs. Mais elles peuvent à
certaines conditions demander à
être exemptées de cette procédure
d'urgence, si leur interface est
considérée comme suffisamment
robuste. A cette date, seuls quelques
établissements bancaires bénéficient de cette exemption14.

Il existe un certain nombre de
dérogations à cette obligation,
posées par le Règlement délégué
UE
2018/389,
qui
tiennent
compte des risques encourus,
de la valeur des opérations et des
canaux utilisés pour le paiement.
A titre d'exemple, les paiements
sans contact de faible montant,
le paiement aux automates de
parking ou de transport, ou encore
le paiement vers un «  bénéficiaire
de confiance  » peuvent être
réalisés
sans
authentification
forte. L'interprétation de la notion
de «  risque de fraude  » n'est pas
triviale, et elle représente un
véritable enjeu pour les prestataires
de paiement, tous confrontés au
même dilemme  : l'authentification
forte étant considérée comme « anti
commerciale  », une interprétation
large de la dérogation est privilégiée
dès lors que le risque reste modéré.

Tout cela est fort complexe et ne va
pas sans mal sur le terrain, ce dont la
presse s'est largement fait l'écho. A ce
jour, le calendrier de mise en œuvre
de la DSP2 pour la mise en œuvre
effective des canaux de communication sécurisés entre fintechs et
banques n'est pas respecté, et nul ne
peut vraiment dire quand, et si, tout
cela va fonctionner un jour comme
prévu.

Authentification forte
Dans un contexte d'usages de
paiement de plus en plus intermédiés
au travers de prestataires autres
que les banques elles-mêmes, la
question de l'authentification du
client représente un enjeu majeur.
La DSP2 impose aux prestataires de
services de paiement d'appliquer
l'authentification forte du client
dans trois situations15 :
■■ lorsque le client accède à son
compte de paiement en ligne ;
■■ lorsque le client initie une opération de paiement électronique,
telle que par exemple un paiement par carte à distance sur un
site de e-commerce. Dans ce cas,
une exigence supplémentaire
s'applique  : l'authentification doit
établir un lien dynamique entre
l'opération, le montant, et le bénéficiaire ;
EXPERTISES Novembre 2019

action, grâce à un moyen de
communication
à
distance,
susceptible de comporter un
risque de fraude en matière de
paiement ou de toute autre utilisation frauduleuse ».

La DSP2 donne de l'«  authentification forte  » une définition16
issue des trois critères classiques
connus en sécurité des systèmes
d'information :
«authentification forte du client»,
une
authentification
reposant
sur l'utilisation de deux éléments
ou plus appartenant aux catégories
«connaissance»
(quelque
chose
que
seul
l'utilisateur
connaît), «possession» (quelque
chose que seul l'utilisateur possède)
et «inhérence» (quelque chose que
l'utilisateur est) et indépendants
en ce sens que la compromission
de l'un ne remet pas en question
la fiabilité des autres, et qui est
conçue de manière à protéger
la confidentialité des données
d'authentification;
Derrière cette apparente simplicité se
cache une interprétation complexe
qui n'a pas manqué de susciter



Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - RECONNAISSANCE FACIALE : VERS « L’ACCEPTABILITÉ SOCIALE »
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - DATA BROKERS : LE TROU NOIR DES DONNÉES PERSONNELLES
DOCTRINE
VIE PRIVÉE - LE SOSIE NUMÉRIQUE : QUEL CONTRÔLE SUR L’IMAGE D’UNE PERSONNE ?
SÉCURITÉ - DSP2 ACTE II : UN DÉPART COMPLIQUÉ
TECHNOLOGIES - VERS UNE « GAMIFICATION » DU DROIT
DONNÉES PERSONNELLES - BOUTON « J’AIME » : CO-RESPONSABILITÉ DU SITE ET DE FACEBOOK
SIGNATURE ÉLECTRONIQUE - PAS DE GRIGRI SUR UN CONTRAT SIGNÉ ÉLECTRONIQUEMENT
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - RECONNAISSANCE FACIALE : VERS « L’ACCEPTABILITÉ SOCIALE »
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 341
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 342
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 343
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 344
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 346
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 347
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 348
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 349
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - DATA BROKERS : LE TROU NOIR DES DONNÉES PERSONNELLES
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 351
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 352
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 353
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 354
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - VIE PRIVÉE - LE SOSIE NUMÉRIQUE : QUEL CONTRÔLE SUR L’IMAGE D’UNE PERSONNE ?
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 356
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 357
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 358
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 359
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 360
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - SÉCURITÉ - DSP2 ACTE II : UN DÉPART COMPLIQUÉ
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 362
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 363
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 364
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - TECHNOLOGIES - VERS UNE « GAMIFICATION » DU DROIT
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 366
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - BOUTON « J’AIME » : CO-RESPONSABILITÉ DU SITE ET DE FACEBOOK
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 368
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 369
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - SIGNATURE ÉLECTRONIQUE - PAS DE GRIGRI SUR UN CONTRAT SIGNÉ ÉLECTRONIQUEMENT
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 371
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 372
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com