L’essor du numérique a entraîné une multiplication des menaces informatiques et des fraudes électroniques. Pour y faire face, les organisations, entreprises et administrations doivent adopter des mesures de sécurité rigoureuses, dont l’authentification forte.
Cependant, l’absence de mise en œuvre de cette méthode de protection peut entraîner des conséquences juridiques, financières et réputationnelles graves.
Dans cet article, nous verrons les obligations légales liées à l’authentification forte, les conséquences et quelques cas concrets de l’absence de sa mise en œuvre.
Qu’est-ce que l’authentification forte ?
L’authentification forte, ou authentification à deux facteurs (2FA), est une procédure qui renforce la sécurité des accès en exigeant au moins deux éléments d’authentification distincts parmi les trois suivants :
- Quelque chose que vous savez : un mot de passe ou un code PIN.
- Quelque chose que vous avez : un smartphone, une carte à puce ou un jeton de sécurité.
- Quelque chose que vous êtes : une empreinte digitale, une reconnaissance faciale ou un scan de l’iris.
L’article L. 133-44, I du Code monétaire et financier impose aux prestataires de services de paiement (PSP) de mettre en place une authentification forte lorsque l’utilisateur accède à son compte en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d’un moyen de communication à distance susceptible de comporter un risque de fraude.
Pour les opérations de paiement électronique à distance, l’authentification forte doit établir un lien dynamique entre l’opération, le montant et le bénéficiaire (article L. 133-4, f, du code monétaire et financier). Cela signifie que :
- Le payeur doit être informé du montant de l’opération et du bénéficiaire.
- Le code d’authentification généré doit être spécifique au montant et au bénéficiaire approuvés par le payeur.
- Toute modification du montant ou du bénéficiaire invalide le code d’authentification généré
Cette approche limite les risques d’accès non autorisés en rendant les intrusions beaucoup plus difficiles pour les cybercriminels.
Quelles sont les obligations légales et réglementaires liées à l’authentification forte?
Plusieurs réglementations imposent l’utilisation de l’authentification forte dans des secteurs sensibles :
1. Règlement général sur la protection des données (RGPD)
Le RGPD, applicable depuis mai 2018 dans l’Union européenne, impose aux organisations de mettre en place des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (article 32).
Bien que le RGPD ne mentionne pas explicitement l’authentification forte, cette dernière est souvent considérée comme une mesure appropriée pour protéger les données personnelles contre l’accès non autorisé.
2. Directive sur les Services de Paiement 2 (DSP2)
La DSP2, en vigueur dans l’Union européenne, exige une authentification forte du client pour les paiements électroniques afin de réduire la fraude et d’accroître la sécurité des transactions en ligne.
Cette directive impose l’utilisation d’au moins deux des trois éléments suivants : connaissance (quelque chose que seul l’utilisateur sait), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est).
3. Normes de l’Industrie des Cartes de Paiement (PCI DSS)
Les normes PCI DSS, qui s’appliquent aux organisations traitant des paiements par carte, recommandent l’utilisation de l’authentification multifacteur pour accéder aux systèmes contenant des données de titulaires de carte.
Ces normes visent à renforcer la sécurité des données de paiement et à prévenir les accès non autorisés.
4. Normes spécifiques à certains secteurs
Certains secteurs, tels que la santé, les télécommunications ou les services financiers, sont soumis à des réglementations spécifiques qui peuvent exiger la mise en place d’une authentification forte pour protéger les informations sensibles.
5. Normes et recommandations internationales
Des organismes tels que l’Organisation internationale de normalisation (ISO) publient des normes relatives à la sécurité de l’information, comme la norme ISO/CEI 27001. Cette dernière préconise l’utilisation de contrôles d’accès robustes, incluant l’authentification forte.
Les exceptions à l’obligation d’authentification forte
Il existe toutefois des exceptions à cette obligation, notamment pour :
- Les paiements de faible montant (inférieurs à 30 euros), sous certaines conditions ;
- Les paiements récurrents de même montant et au profit du même bénéficiaire, après la première transaction ;
- Les paiements vers des bénéficiaires de confiance préalablement enregistrés par l’utilisateur.
Quelles sont les conséquences de l’absence de mise en œuvre de l’authentification forte ?
L’absence de mise en œuvre de l’authentification forte, également appelée double authentification, peut entraîner plusieurs conséquences notables, tant pour les utilisateurs que pour les prestataires de services de paiement.
1. Augmentation du risque de fraude
Sans authentification forte, les transactions électroniques deviennent plus vulnérables aux tentatives de fraude. Les fraudeurs peuvent exploiter cette faiblesse pour accéder illicitement aux comptes des utilisateurs et effectuer des opérations non autorisées.
2. Responsabilité accrue des prestataires de services de paiement
Selon l’article L. 133-19 du Code monétaire et financier, si une opération de paiement non autorisée est effectuée sans que le prestataire de services de paiement ait exigé une authentification forte, le payeur ne supporte aucune conséquence financière, sauf en cas d’agissement frauduleux de sa part.
Ainsi, en l’absence d’authentification forte, la responsabilité financière incombe au prestataire.
3. Perte de confiance des clients
Les utilisateurs s’attendent à ce que leurs transactions en ligne soient sécurisées. L’absence de mesures de sécurité rassurantes, comme l’authentification forte, peut entraîner une perte de confiance des clients envers les services proposés. Cela peut ainsi affecter la réputation et la fidélité à long terme.
4. Non-conformité aux réglementations
La directive européenne DSP2 impose l’utilisation de l’authentification forte pour les paiements électroniques. Ne pas se conformer à cette exigence peut exposer les prestataires à des sanctions réglementaires et juridiques.
5. Risque financier important pour les consommateurs
En l’absence d’authentification forte, les consommateurs peuvent être plus exposés à des pertes financières en cas de fraude, surtout si les prestataires de services de paiement refusent le remboursement des opérations frauduleuses.
Cas concrets de manquement à la mise en œuvre de l’authentification forte
En France, plusieurs cas concrets illustrent les conséquences du non-respect de l’obligation d’authentification forte lors des transactions de paiement. Voici quelques exemples :
1. Arrêt de la Cour de cassation du 30 août 2023
Dans cette affaire, un client avait communiqué, par méprise, un code de sécurité « 3D Secure » à un tiers qui se faisait passer pour un employé de sa banque, ce qui a entraîné un paiement non autorisé depuis son compte.
La banque a refusé de rembourser le client, invoquant une négligence grave de sa part. La Cour de cassation a jugé que, sauf en cas de fraude avérée du client, celui-ci ne doit supporter aucune perte financière si l’opération de paiement non autorisée a été effectuée sans qu’une authentification forte ait été exigée par la banque.
La Cour a donc cassé la décision précédente, soulignant l’obligation pour les banques de mettre en œuvre une authentification forte pour sécuriser les transactions.
2. Recommandations de l’Observatoire de la sécurité des moyens de paiement
En mai 2023, l’Observatoire a publié des recommandations concernant le remboursement des victimes de fraude. Il a précisé que, si une transaction contestée par l’utilisateur n’a pas fait l’objet d’une authentification forte, l’établissement teneur de compte est tenu de la rembourser sans délai.
Cette position renforce l’obligation pour les prestataires de services de paiement de mettre en place des mesures d’authentification forte, sous peine de devoir assumer les pertes financières liées à des transactions frauduleuses.
3. Arrêt de la Cour d’appel de Paris du 20 mars 2024
Dans cette affaire, une cliente avait été victime de plusieurs débits frauduleux totalisant 13 000 euros. La banque avait refusé de la rembourser, arguant d’une négligence de sa part.
La Cour d’appel de Paris a condamné la banque à rembourser la somme, estimant que celle-ci n’avait pas mis en place les mesures de sécurité adéquates, notamment l’authentification forte, pour prévenir de telles fraudes.
En résumé
L’authentification forte est un pilier indispensable de la cybersécurité moderne. En n’appliquant pas cette mesure, les organisations s’exposent à des risques élevés qui affectent leur conformité légale, leur situation financière et leur réputation. Il est donc important de considérer cette technologie non pas comme une contrainte, mais comme un investissement stratégique pour protéger leurs intérêts et ceux de leurs clients.
