Avancée majeure de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite « DSP2 », l’authentification forte du client ou « SCA » (pour strong customer authentication) a permis une chute spectaculaire des fraudes aux moyens de paiement, réduites de 50 % entre 2020 et 2021.
Rappelons qu’il s’agit, comme le prévoit l’article L. 133-44 du Code monétaire et financier, pour un prestataire de service de paiement d’exiger, chaque fois que son client accède à son compte en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse, d’exiger le respect d’une mesure d’authentification. Cette mesure repose sur l’utilisation de deux éléments (ou plus) appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres ; elle est conçue de manière à protéger la confidentialité des données d’authentification, comme le prévoit l’article L. 133-4 du même code.
Concrètement, le client qui souhaite par exemple accéder à son compte via une application mobile doit usuellement entrer un code et activer une clé digitale. Cette mesure est destinée avant tout à protéger le client contre d’éventuelles fraudes. Mais elle présente également un intérêt juridique marqué pour le prestataire de services de paiement concerné, ainsi que cela ressort clairement d’un arrêt rendu le 30 août dernier par la chambre commerciale de la Cour de cassation (n° 22-11.707, F-B).
