1. L’authentification forte, du point de vue de la régulation. « Une grenouille vit un Bœuf /Qui lui sembla de belle taille... »1. Dès son apparition, dans la DSP 2, l’authentification forte se révéla autre chose qu’une simple procédure de vérification de l’identité de l’utilisateur de services de paiement (USP)2. Elle prit tout de suite la lumière, toute la lumière3. Il est vrai que les multiples décalages de son entrée en application aiguisèrent la curiosité : on guetta d’abord l’adoption des fameuses normes techniques de réglementation (regulatory technical standards ou RTS) promises à l’article 98 de la DSP 2 puis, celles-ci prises, le temps s’étira encore (y compris pour cause de pandémie de Covid-19) jusqu’à leur adoption par les prestataires de services de paiement (PSP), sans oublier leurs clients, aussi bien payeurs (porteurs de cartes, notamment) qu’accepteurs (au premier rang desquels les commerçants).
L’avènement du règlement délégué (UE) 2018/389 de la Commission4, applicable à partir du 14 septembre 2019, popularisa ce qui fut tôt nommé les « RTS on SCA & CSC » (regulatory technical standards on strong customer authentication and common and secure open standards for communication). « Ces dernières années ont vu croître les risques de sécurité liés aux paiements électroniques », peut-on lire au considérant 7 de la DSP 2. À quoi, dans son registre, le règlement délégué répondait : « Étant donné que les méthodes de fraude sont en constante évolution, les exigences relatives à l’authentification forte du client devraient permettre des solutions techniques innovantes répondant à l’émergence de nouvelles menaces pour la sécurité des paiements électroniques »5.
Sur le marché français, un « plan de migration » fut élaboré par l’Observatoire de la sécurité des moyens de paiement (OSMP, adossé à la Banque de France dans le cadre de sa mission d’assurer la sécurité des moyens de paiement), qui prit acte de son achèvement seulement à la toute fin de l’année 20216. Cependant que, confrontée à de tels retards dans la plupart des pays européens, l’Autorité bancaire européenne (EBA) mangeait son chapeau, au prix d’une « supervisory flexibility7 » de circonstance : « The EBA has arrived at the view that migration plans of PSPs, including the implementation and testing by merchants, should be completed by 31 December 20208. » Rappelons que la DSP 2 devait être transposée avant le 13 janvier 2018.
2. L’authentification forte, en droit. Si l’on quitte, un moment, le domaine de la régulation pour celui du droit, la surprise n’est pas mince de s’apercevoir, par contraste, que la DSP 2, en fin de compte, parle très peu d’authentification forte. Une fois sa définition donnée (voir infra), seules deux dispositions (on laisse ainsi de côté l’article 98 et sa « commande » de RTS à l’EBA) sont concernées :
– l’une (l’article 97, transposé à l’article L. 133-44 du CMF) exige essentiellement que l’authentification forte du payeur soit appliquée dans les trois hypothèses suivantes : lorsqu’il (i) accède à son compte de paiement en ligne (volet accès aux comptes par les prestataires de services d’initiation de paiement ou PSIP et les prestataires de services d’information sur les comptes ou PSIC) ; (ii) initie une opération de paiement électronique (hypothèse qui retient spécialement notre attention ici), ou (iii) exécute une action à risque de fraude (par exemple : création ou modification d’une liste de bénéficiaires de confiance ; création, modification ou initiation pour la première fois d’une série d’opérations récurrentes9, etc.) ;
– l’autre (l’article 74, paragraphe 2, de la DSP 2, codifié aux V et VI de l’article L. 133-19 du CMF) pose une règle de responsabilité en cas d’absence d’authentification forte (d’un payeur consommateur)10 : « Lorsque le prestataire de services de paiement du payeur n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du client, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».
En droit, toujours, la Cour de cassation nous a gratifiés, le 30 août 2023, d’un arrêt dont la publication au Bulletin et les nombreux commentaires qui lui ont été consacrés11, y compris de la presse généraliste12, laissent entendre qu’il est important. Il faut dire que ce serait premier à se saisir de la question de l’authentification forte du payeur qui initie, ou plutôt ici est censé initier, une opération de paiement électronique, qui plus est à distance13.
Mais quel est l’apport substantiel de cet arrêt ? Bien qu’on puisse lui reprocher de s’être prononcé un peu légèrement sur la date d’entrée en application de l’obligation d’authentification forte (on a vu plus haut que l’échéance du 14 septembre 2019 fut malmenée par la réalité du marché), on retiendra – et, à notre sens, on retiendra seulement – qu’à l’avenir, dans le contentieux florissant de la contestation des opérations de paiement non autorisées (ou frauduleuses), le juge du fond ne pourra plus se permettre de ne pas vérifier s’il a été procédé, ou non, à l’authentification forte du payeur.
En effet, en cas d’opérations de paiement non autorisées, la responsabilité du PSP du payeur (qui est en réalité un droit à remboursement plus ou moins (in)conditionnel octroyé à ce dernier) variera selon qu’il a appliqué, ou non, à l’authentification forte de son client. Dans le premier cas, le PSP pourra lui opposer non seulement son agissement frauduleux, mais encore sa négligence grave ; dans le second, seule la fraude du payeur dispensera son PSP de l’indemniser. On comprend dès lors pourquoi le jugement du Tribunal judiciaire de Clermont-Ferrand (malencontreusement promu au rang de cour d’appel dans l’extrait suivant), ayant retenu la négligence grave du « payeur malgré lui », a été cassé : « En se déterminant ainsi, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, la cour d’appel n’a pas donné de base légale à sa décision ».
3. L’authentification forte, dans son rapport avec l’autorisation d’une opération de paiement. Puisque la décision de la Cour de cassation nous confronte à la question des opérations de paiement non autorisées, on peut difficilement ne pas revenir sur les recommandations de l’OSMP relatives aux modalités de remboursement des opérations de paiement frauduleuses, rendues publiques en mai 202314 et reprises aux pages 27 et suivantes de son rapport annuel 2022. On le peut d’autant moins que l’authentification forte y figure en bonne place.
L’Observatoire relève en effet qu’une part non négligeable des paiements frauduleux (en 2021, 9 % du total des fraudes aux paiements par carte sur internet) représente des paiements avec authentification forte et, surtout, que ceux-ci représentent 30 % du montant total des opérations frauduleuses, qui s’élève à 103 millions d’euros15. D’où l’intérêt, nous semble-t-il, de ne pas confondre authentification forte du payeur et autorisation de l’opération de paiement ; intérêt que rappelle au demeurant fort bien l’OSMP dans ses recommandations : « L’appréciation du caractère autorisé ou non d’une opération est donc un critère déterminant pour le remboursement des clients qui contestent une opération de paiement pour motif de fraude »16.
On peut dès lors regretter que ces mêmes recommandations participent de temps à autre à cette confusion, par exemple lorsqu’elles énoncent que « cette question [de l’autorisation] est particulièrement sensible dans le cas d’opérations ayant fait l’objet d’une authentification forte, où il convient de déterminer dans quelle mesure le succès de l’authentification forte peut être ou non assimilé à un consentement du porteur de l’instrument de paiement »17.
Il n’est pas bon de tirer le consentement à une opération de paiement vers la procédure d’authentification du payeur ; et l’arrêt de la Cour de cassation du 30 août 2023 n’y invite certainement pas. Rare îlot de consensualisme au sein du droit des opérations de paiement18 qui vire trop souvent à la « monétique » (« ensemble des techniques électroniques permettant d’effectuer des opérations monétaires »19), l’autorisation d’une opération de paiement est – et doit rester – le fruit du consentement donné librement (c’est-à-dire dans la forme convenue avec le PSP) par le payeur à son exécution, et qui peut être retiré tant que l’« ordre » de paiement n’a pas acquis un caractère d’irrévocabilité.
Cela est clairement affirmé à l’article 64 de la DSP 2 et fidèlement repris aux articles L. 133-6 et L. 133-7 du CMF. Mieux : « En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée »20, sans autre tergiversation. Sachant que le régime de responsabilité (ou d’indemnisation) des opérations non autorisées (ou frauduleuses) ne s’embarrasse lui-même d’aucune hésitation : c’est bien le remboursement immédiat du payeur que fulmine la DSP 2 (article 73) comme le CMF (article L. 133-18)21.
4. Les limites de l’authentification forte. L’authentification forte du payeur qui initie une opération de paiement22 ne permet, c’est un truisme, que de vérifier l’identité de... ce dernier. Cela revient à dire que toutes les opérations (elles sont de plus en plus nombreuses) initiées en dehors du payeur se trouvent hors régime de l’authentification forte. Il s’agit notamment des opérations de paiement qui, suivant les progrès des techniques commerciales, sont à la main des commerçants, qu’avec un brin de cuistrerie on nomme les paiements « MIT » (Merchant Initiated Transactions), par opposition aux paiements « CIT » (Customer Initiated Transactions).
Sans compter les traditionnels prélèvements, ces paiements MIT se réfèrent en particulier à toute une série de paiements par carte, dont l’OSMP, toujours lui, a dressé le tableau suivant (on cite intégralement) : « Les transactions initiées électroniquement par le commerçant [Merchant Initiated Transaction – MIT] correspondent aux opérations initiées par le commerçant sans présence active du porteur de la carte, dans des situations où l’émission du paiement est dissociée de l’engagement à payer, par exemple : dans le cas d’un abonnement, d’un paiement en plusieurs fois, d’un service payé en fonction de la consommation (abonnement modulable, réservation d’un moyen de transport...), de paiements exécutés en plusieurs fois au moment de la livraison des différents éléments d’un panier d’achat, ou encore de frais de garantie de réservation payables en cas de non-présentation du client. Ces transactions, généralement émises en dehors de la présence active du client sur le site du commerçant, ne sont pas soumises à l’obligation d’authentification forte du porteur, mais doivent comporter la trace d’une authentification forte réalisée au moment de l’engagement à payer du client (selon un processus dit de “chaînage” des transactions). Cet engagement, correspondant à un “mandat MIT”, doit préciser les conditions de règlement auquel s’engage le client (montant, nombre d’opérations, périodicité, durée de validité)23. »
Cela est très intéressant, à l’évidence, mais souffre toutefois d’un « vice de forme » sérieux : quand, deux ans après ces observations, l’Observatoire écrit, sur le même sujet, qu’il « rappelle qu’au titre de la réglementation européenne ces transactions MIT doivent être chaînées à une preuve d’authentification forte initiale du porteur »24, on est en droit lui demander : mais quelle est cette réglementation européenne ainsi « rappelée » ? et d’où viennent ce processus de chaînage et ce mandat MIT ?
5. Les dérogations à l’authentification forte. On imagine fort bien (mais, à vrai dire, on n’en sait rien) que cette nouvelle littérature sur les paiements MIT renvoie à telle ou telle « Q&A » (Question and Answer) de l’EBA, qui sont des centaines et des centaines, mêlées de quelques orientations, opinions, etc. Sauf que ce n’est pas du droit, pas même d’ailleurs de la réglementation. Ce qui nous amène à poser le problème des dérogations à l’authentification forte, dans la mesure où celles-ci relèvent, non pas de la loi, mais d’une norme de deuxième niveau : le règlement délégué (UE) 2018/389 de la Commission, mué en RTS on SCA & CSC.
Revenant, une dernière fois, à notre arrêt du 30 août 2023, on se demande ce que déciderait le juge de renvoi si, en l’espèce, la banque n’avait pas exigé l’authentification forte de son client tout simplement parce qu’elle pouvait se prévaloir d’un des cas de dérogation que lui octroie le règlement. À notre sens, la réponse ne souffre d’aucun doute : dès lors qu’un PSP peut légitimement (la précision est importante) se couler dans un cas de dérogation, c’est que la situation éligible ne présente pas de risque de fraude particulier et qu’il n’y a ainsi aucune raison d’alourdir la responsabilité du PSP en le privant de la faculté de faire la preuve de la négligence grave de son client. Comment, au demeurant, pourrait-il en aller autrement depuis que le règlement délégué a récemment été modifié en vue de rendre « obligatoire » (c’est un comble !) la dérogation « article 10 », lorsque le client accède à son compte de paiement par l’intermédiaire d’un PSIC25 ? On ne voit en effet pas que le PSP « obligé » de ne pas pratiquer l’authentification forte puisse le « payer » (c’est le bon terme) par la suite.
C’est malheureusement sans compter l’avis de l’EBA, aux termes d’une Q&A, trouvée presque par hasard, posée à propos de l’article 74 de la DSP 2 : « Who is liable for fraud on Strong Customer Authentication (SCA) exempted transactions ? Which payment service provider (PSP) is liable (payer’s or payee’s) when both PSPs choose to trigger an exemption to SCA ? ». Nous ne sommes même pas étonnés de la réponse apportée par l’EBA qui, citant l’article 73, paragraphe 1er, puis l’article 74, paragraphe 2, conclut : « It follows from the above that unless the payer acted fraudulently, the payer’s PSP is liable towards that payer for transactions carried out without SCA26. »
Alors l’EBA (suivie par l’OSMP, faut-il noter27) peut bien se couvrir par un disclaimer et nous dire que sa réponse a été préparée par la Commission (mais ne la lie pas), elle n’a aucune compétence pour trancher ce type de question, qui ne relève pas même de la Commission ni des normes techniques de réglementation qu’elle peut prendre28, mais bien de la loi européenne elle-même. C’est au demeurant la voie que semble vouloir emprunter le futur règlement concernant les services de paiement lorsqu’il entend faire remonter « certaines dispositions figurant actuellement dans une norme technique de réglementation »29, c’est-à-dire dans le règlement délégué (UE) 2018/389.
Il est temps que le législateur européen précise le régime juridique de l’authentification forte. n
Achevé de rédiger le 21 janvier 2024.
