Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 363

de nombreuses interrogations
des acteurs du domaine17. L'EBA,
dans son opinion du 21 juin 201918
, explique ce qu'il faut entendre
par «  inhérence  », «  possession  »,
et « connaissance » :

Le critère d'inhérence
Pour l'EBA, le critère d'inhérence désigne une composante
biométrique et/ou comportementale, voire un mélange des deux.
Ainsi, un système de reconnaissance d'empreinte digitale, de voix,
de système veineux, ou d'analyse
de comportement de frappe clavier,
constitue un facteur d'inhérence
pour l'EBA. Le développement de ce
type de système d'authentification,
note l'EBA, est en pleine expansion.
Expansion quelque peu freinée par
les contraintes liées à la réglementation protectrice des données
personnelles, au titre de laquelle
ils doivent être systématiquement
soumis à la réalisation d'une
analyse d'impact et le cas échéant à
l'approbation de la Cnil.

Le critère de possession
Le critère de possession ne se réfère
pas nécessairement et uniquement
à un élément tangible et matériel. Il
peut aussi s'agir d'une application
logicielle. Ainsi, un équipement
(par
exemple
un
téléphone
portable) peut constituer un critère
de possession, mais seulement s'il
existe un moyen fiable de confirmer
cette possession via une validation
dynamique sur l'équipement (par
exemple un OTP). De même, la
saisie des éléments visibles sur
une carte de crédit ne constitue
pas un critère de possession, sauf
le cas échéant pour les cartes dont
le CVV n'est pas visible et change
régulièrement.

à ce que l'on pourrait penser, l'OTP
envoyé par SMS n'est pas un critère
de connaissance car, selon l'EBA,
l'élément connu doit préexister à
l'opération de paiement considérée.

Le plan de migration
français pour
le e-commerce et
des paiements en ligne

Bien que la définition de l'« authentification forte  » ne le précise pas,
l'EBA précise que les deux éléments
requis doivent appartenir à des
catégories différentes.

S'agissant plus spécifiquement
de l'authentification forte dans le
cadre du e-commerce, la Banque de
France a défini un plan de migration
visant à identifier l'ensemble des
adaptations nécessaires et à piloter
leur implémentation, publié le
11 septembre 201920.

Enfin, s'agissant des achats en ligne,
s'ajoute l'exigence complémentaire
du «  lien dynamique  » avec
l'opération.
Au 14 septembre 2019 personne
n'était prêt sur le marché du
e-commerce, qui concerne non
seulement les prestataires de
services de paiement, mais les
e-commerçants eux-mêmes. Il
ressort clairement tant des textes
que des opinions de l'EBA que
le système «  3D secure  », dans la
version actuelle composée d'une
combinaison des éléments visibles
sur la carte et de la saisie d'un OTP
reçu par SMS, ne constitue pas une
authentification forte. Mais à la place,
pour l'instant, il n'y a rien de mieux.
En effet, les nouvelles exigences
ne portent pas uniquement sur
le remplacement des moyens
d'authentification.
L'architecture
de place qui supporte les échanges
entre e-commerçants, prestataires
d'acceptation technique, banques
acquéreur et émetteur, ne permet
pas actuellement de respecter les
dispositions de la DSP2 relatives à la
responsabilité et à certains facteurs
d'exemption de l'authentification
forte. C'est donc, plus largement,
d'une véritable remise en cause
structurelle de l'infrastructure des
paiements en ligne qu'il s'agit.

Le critère de connaissance
Le critère de connaissance, qui se
réfère à un élément que l'utilisateur
est seul à connaître, peut être un
mot de passe, un code PIN, ou une
réponse secrète à une question. En
revanche, un numéro de carte de
crédit ou un CVV imprimé sur la
carte de crédit n'est pas un critère
de connaissance. Et contrairement

L'ABE, face à cette réalité de terrain,
s'est vue contrainte19 d'accorder
un délai aux Etats européens pour
se mettre en conformité, charge
à ceux-ci de mettre en place des
plans de migration nationaux pour
arriver le plus rapidement possible
à une mise en conformité avec les
textes.
EXPERTISES Novembre 2019

Pour suivre l'avancée de la migration
au sein des principaux établissements émetteurs, la Banque de
France a ainsi défini des indicateurs
qui seront ajoutés au questionnaire «  3D-Secure» existant, qui
continuera à être envoyé aux
établissements bancaires deux
fois par an à des fins de collecte
de données et permettra de rendre
compte des progrès réalisés sur les
aspects suivants :
■■ tendance baissière de l'utilisation
des dispositifs non conformes à la
nouvelle réglementation ;
■■ développement des dispositifs
d'authentification conformes.
Ce plan prévoit que d'ici dix-huit
mois, les nouveaux usages seront
adoptés par au moins trois quarts
des utilisateurs pour les transactions e-commerce.
Dix-huit mois supplémentaires
seront accordés pour les cas
résiduels (populations fragiles ou
mal équipées, expatriés, etc.). Soit
en tout trois ans pour se rapprocher
des objectifs de la directive.

En conclusion
La mise en œuvre de la DSP2
rencontre deux écueils pratiques
majeurs. Le premier est celui de
l'effectivité de la mise en œuvre
des moyens de communication de
sécurisés permettant aux fintechs
d'accéder aux comptes de paiement
détenus par les banques.
La seconde est la mise en
œuvre de l'authentification forte

363



Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia

Couverture
Editorial & Sommaire
FOCUS - RECONNAISSANCE FACIALE : VERS « L’ACCEPTABILITÉ SOCIALE »
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - DATA BROKERS : LE TROU NOIR DES DONNÉES PERSONNELLES
DOCTRINE
VIE PRIVÉE - LE SOSIE NUMÉRIQUE : QUEL CONTRÔLE SUR L’IMAGE D’UNE PERSONNE ?
SÉCURITÉ - DSP2 ACTE II : UN DÉPART COMPLIQUÉ
TECHNOLOGIES - VERS UNE « GAMIFICATION » DU DROIT
DONNÉES PERSONNELLES - BOUTON « J’AIME » : CO-RESPONSABILITÉ DU SITE ET DE FACEBOOK
SIGNATURE ÉLECTRONIQUE - PAS DE GRIGRI SUR UN CONTRAT SIGNÉ ÉLECTRONIQUEMENT
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - RECONNAISSANCE FACIALE : VERS « L’ACCEPTABILITÉ SOCIALE »
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 341
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 342
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 343
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 344
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 346
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 347
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 348
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 349
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - DATA BROKERS : LE TROU NOIR DES DONNÉES PERSONNELLES
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 351
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 352
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 353
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 354
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - VIE PRIVÉE - LE SOSIE NUMÉRIQUE : QUEL CONTRÔLE SUR L’IMAGE D’UNE PERSONNE ?
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 356
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 357
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 358
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 359
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 360
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - SÉCURITÉ - DSP2 ACTE II : UN DÉPART COMPLIQUÉ
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 362
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 363
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 364
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - TECHNOLOGIES - VERS UNE « GAMIFICATION » DU DROIT
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 366
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - BOUTON « J’AIME » : CO-RESPONSABILITÉ DU SITE ET DE FACEBOOK
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 368
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 369
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - SIGNATURE ÉLECTRONIQUE - PAS DE GRIGRI SUR UN CONTRAT SIGNÉ ÉLECTRONIQUEMENT
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 371
Expertises des Systèmes d'information - Novembre 2019 - n°451 - Le mensuel du droit de l'informatique et du multimédia - 372
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com