Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance. )

Coming into Force14 September 2019,14 March 2018,14 March 2019
End of Effective Date31 December 9999
Celex Number32018R0389
ELIhttp://data.europa.eu/eli/reg_del/2018/389/oj
Published date13 March 2018
Date27 November 2017
Official Gazette PublicationDiario Oficial de la Unión Europea, L 69, 13 de marzo de 2018
L_2018069FR.01002301.xml
13.3.2018 FR Journal officiel de l'Union européenne L 69/23

RÈGLEMENT DÉLÉGUÉ (UE) 2018/389 DE LA COMMISSION

du 27 novembre 2017

complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication

(Texte présentant de l'intérêt pour l'EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne,

vu la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (1), et notamment son article 98, paragraphe 4, deuxième alinéa,

considérant ce qui suit:

(1) Les services de paiement proposés par voie électronique devraient être sécurisés grâce à des technologies permettant de garantir une authentification sûre de l'utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude. La procédure d'authentification devrait comprendre, en règle générale, des mécanismes de contrôle des opérations permettant de déceler les tentatives d'utiliser les données de sécurité personnalisées d'un utilisateur de services de paiement qui ont été perdues, volées ou détournées et devrait également garantir que l'utilisateur de services de paiement est l'utilisateur légitime et donne dès lors son consentement au transfert de fonds et à l'accès aux informations sur son compte au travers d'une utilisation normale des données de sécurité personnalisées. Par ailleurs, il y a lieu de préciser les exigences relatives à l'authentification forte du client qui devraient être appliquées chaque fois qu'un payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse, en imposant que soit généré un code d'authentification qui ne risque pas d'être falsifié, que ce soit dans son intégralité ou par la divulgation de l'un des éléments sur la base desquels il a été généré.
(2) Étant donné que les méthodes de fraude sont en constante évolution, les exigences relatives à l'authentification forte du client devraient permettre des solutions techniques innovantes répondant à l'émergence de nouvelles menaces pour la sécurité des paiements électroniques. Pour que les exigences à définir soient effectivement mises en œuvre sur une base continue, il convient également d'exiger que les mesures de sécurité pour l'application de l'authentification forte du client et ses dérogations, les mesures visant à protéger la confidentialité et l'intégrité des données de sécurité personnalisées et les mesures établissant des normes ouvertes communes et sécurisées de communication fassent l'objet d'une description exhaustive par écrit et soient régulièrement testées, évaluées et contrôlées par des auditeurs possédant une expertise dans le domaine de la sécurité informatique et des paiements électroniques et indépendants sur le plan opérationnel. Pour permettre aux autorités compétentes de contrôler la qualité du réexamen de ces mesures, il convient que les résultats de ces réexamens soient mis à leur disposition à leur demande.
(3) Les opérations de paiement électronique à distance étant davantage exposées au risque de fraude, il est nécessaire de prévoir des exigences supplémentaires relatives à l'authentification forte des clients de ces opérations, qui garantissent que leurs éléments établissent un lien dynamique entre l'opération et un montant et un bénéficiaire précisés par le payeur lors de l'initiation de l'opération.
(4) L'établissement d'un lien dynamique est possible grâce à la génération de codes d'authentification, qui fait l'objet d'une série d'exigences strictes en matière de sécurité. Afin de maintenir la neutralité sur le plan des technologies, aucune technologie spécifique ne devrait être prescrite pour la mise en œuvre des codes d'authentification. Par conséquent, les codes d'authentification devraient être fondés sur des solutions telles que la génération et la validation de mots de passe à usage unique, de signatures numériques ou d'autres moyens de validation basés sur la cryptographie qui utilisent des clés ou du matériel cryptographique contenus dans les éléments d'authentification, pour autant que les exigences en matière de sécurité soient respectées.
(5) Il y a lieu de définir des exigences particulières pour les situations dans lesquelles le montant final n'est pas connu au moment où le payeur initie une opération de paiement électronique à distance, afin que l'authentification forte du client soit spécifique au montant maximal auquel le payeur a donné son consentement, conformément à la directive (UE) 2015/2366.
(6) Pour garantir l'application de l'authentification forte du client, il est également nécessaire d'exiger des caractéristiques de sécurité adéquates pour les éléments d'authentification forte du client appartenant à la catégorie «connaissance» (quelque chose que seul l'utilisateur connaît), comme la longueur ou la complexité, pour les éléments appartenant à la catégorie «possession» (quelque chose que seul l'utilisateur possède), comme les spécifications de l'algorithme, la longueur de la clé et l'entropie de l'information, et pour les dispositifs et logiciels qui lisent les éléments appartenant à la catégorie «inhérence» (quelque chose que l'utilisateur est), comme les spécifications de l'algorithme, le capteur biométrique et les dispositifs de protection des formats d'écran, notamment pour atténuer le risque que ces éléments soient mis au jour, divulgués à des tiers non autorisés et exploités par ceux-ci. Il convient également de définir les exigences visant à assurer l'indépendance de ces éléments, afin que la compromission de l'un ne remette pas en question la fiabilité des autres, notamment lorsque l'un de ces éléments est utilisé au travers d'un dispositif multifonctionnel, à savoir un dispositif tel une tablette ou un téléphone mobile, qui peut servir tant pour donner l'instruction d'effectuer le paiement que pour le processus d'authentification.
(7) Les exigences relatives à l'authentification forte du client s'appliquent aux paiements initiés par le payeur, que celui-ci soit une personne physique ou une entité juridique.
(8) En raison même de leur nature, les paiements effectués par l'intermédiaire d'instruments de paiement anonymes ne sont pas soumis à l'obligation d'authentification forte du client. Lorsque le caractère anonyme de ces instruments est supprimé pour des motifs contractuels ou législatifs, ces paiements sont soumis aux exigences de sécurité qui découlent de la directive (UE) 2015/2366 et de cette norme technique de réglementation.
(9) Conformément à la directive (UE) 2015/2366, les dérogations au principe d'authentification forte du client ont été définies sur la base du niveau de risque, du montant, du caractère récurrent et du moyen utilisé pour exécuter l'opération de paiement.
(10) Les actions qui nécessitent l'accès au solde et aux opérations récentes d'un compte de paiement sans divulgation de données de paiement sensibles, les paiements récurrents aux mêmes bénéficiaires qui ont été préalablement créés ou confirmés par le payeur en recourant à l'authentification forte du client et les paiements en faveur ou en provenance de la même personne physique ou morale possédant des comptes auprès du même prestataire de services de paiement présentent un niveau de risque faible, qui permet aux prestataires de services de paiement de ne pas appliquer l'authentification forte du client. Il convient toutefois de rappeler qu'en vertu des articles 65, 66 et 67 de la directive (UE) 2015/2366, les prestataires de services d'initiation de paiement, les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte et les prestataires de services d'information sur les comptes ne devraient demander au prestataire de services de paiement gestionnaire du compte que les informations indispensables à la prestation d'un service de paiement donné, et ne les obtenir de lui qu'avec le consentement de l'utilisateur des services de paiement. Ce consentement peut être donné individuellement pour chaque demande d'information ou chaque paiement à initier ou, pour les prestataires de services d'information sur les comptes, sous la forme d'un mandat pour les comptes de paiement désignés et les opérations de paiement associées définis dans l'accord contractuel avec l'utilisateur de services de paiement.
(11) Des dérogations pour les paiements sans contact de faible valeur au point de vente, qui autorisent aussi un nombre maximal ou une valeur fixe maximale d'opérations consécutives sans authentification forte du client, permettent le développement de services de paiement conviviaux présentant un faible risque et devraient dès lors être prévues. Il y a également lieu de prévoir une dérogation pour les opérations de paiement électronique initiées à partir d'automates de paiement, pour lesquelles le recours à l'authentification forte du client est susceptible de ne pas être toujours aisé à appliquer pour des motifs opérationnels (par exemple pour éviter les files d'attente et les éventuels accidents aux gares de péage ou en raison d'autres risques pour la sûreté ou la sécurité).
(12) Comme dans le cas de la dérogation applicable aux paiements sans contact de faible valeur au point de vente, il convient de trouver un juste équilibre entre l'intérêt d'un
...

To continue reading

Request your trial

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT