La directive révisée sur les services de paiement, plus souvent désignée par son acronyme DSP2 ou PSD2 est officiellement entrée en vigueur en septembre 2019. L'Autorité bancaire européenne a malgré tout accordé un délai supplémentaire aux entreprises pour l'implementation de la SCA (Authentification forte des clients, Strong Customer Authentication). C'est une bonne nouvelle pour la plupart des institutions financières, car les exigences de la directive PSD2 sont très complexes à comprendre et à mettre en œuvre.
Au cas où vous ne le sauriez pas encore, la directive s’applique à tous les États membres de l’Union européenne (UE) et exige l’ouverture des réseaux d’information et de paiement de tous les établissements financiers aux prestataires de services de paiement (PSP) et autres fournisseurs tiers (Third Party Provider, TPP). Outre la suppression du monopole des établissements financiers sur leurs données utilisateur, le développement de la concurrence et la création d’un cadre favorisant l’émergence de nouvelles solutions financières innovantes, le texte vise aussi à établir des normes et des standards garantissant l’interopérabilité et la sécurité des données utilisateur.
Pourquoi l’UE intervient-elle dans les flux de paiement ?
La DSP2 désigne le second volet d’une directive sur les services de paiement en place depuis 2007. La lutte contre la fraude et les activités malveillantes, ainsi que le renforcement de la sécurité des paiements en ligne font partie des objectifs de la DSP2. Le texte vise également à encourager l’Open Banking et développer la concurrence. Ces dernières années, plusieurs initiatives ont vu le jour pour encourager l’utilisation des documents numériques et améliorer la sécurité numérique. L’essor des sociétés de technologies financières (appelées « fintechs ») confirme cette tendance.
Que sont les NTR SCA/CSC pour la DSP2 ?
Les normes techniques de réglementation (NTR) pour une authentification forte des clients (SCA) et des normes ouvertes communes et sécurisées de communication (CSC) précisent quelles sont les mesures de sécurité et les implémentations spécifiques auxquelles les établissements financiers et les prestataires tiers doivent se conformer en vertu de la DSP2.
L’un des principes clés repose sur des normes communes et sécurisées de communication entre toutes les parties concernées. Toutes les transactions entre les prestataires de services de paiement et les établissements financiers doivent s’effectuer sur des canaux sécurisés et garantir l’authenticité et l’intégrité des données.
Rôle des certificats qualifiés dans la DSP2
Les NTR indiquent deux cas de figure où l’utilisation de certificats est obligatoire :
- Identification des prestataires de services de paiement (Article 34 des NTR) – Les prestataires de services de paiement (PSP) doivent s’identifier auprès de l’API de l’établissement financier. Les NTR exigent spécifiquement qu’un certificat d’authentification de site Internet (QWAC) ou un certificat qualifié de cachet électronique (QSealC) soit utilisé à cet effet.
- Application d’un chiffrement sécurisé entre toutes les parties communicantes (Article 35 des NTR) – Les NTR n’imposent pas l’utilisation de certificats QWAC ici, mais exigent seulement l’utilisation de « techniques de chiffrement fiables et largement reconnues » ; le fait que les QWAC utilisent les protocoles SSL/TLS répond à ce besoin.
De quel type de certificat(s) qualifié(s) ai-je besoin ?
Pour répondre aux deux exigences précédentes, l’ABE (Autorité bancaire européenne) recommande l’utilisation de certificats QWAC et QSealC.
Les certificats QWAC sont en substance des certificats SSL/TLS qualifiés. Utilisés pour identifier les points de terminaison, comme les banques et les fournisseurs tiers, ils chiffrent et protègent les données pendant la transmission.
Par ailleurs, les certificats QSealC protègent les données et les documents contre toute falsification, et identifient l’origine des données.
À l’idéal, on utilisera conjointement les deux types de certificats pour les raisons suivantes :
- Les PSP peuvent ainsi s’identifier auprès des établissements financiers. Les certificats qualifiés QWAC et QSealC authentifient les parties utilisatrices des certificats.
- La confidentialité et l’intégrité des communications entre toutes les parties sont préservées. Les certificats QWAC utilisent le SSL/TLS pour chiffrer les sessions et protéger les données en transit.
- Toutes les données proviennent effectivement du PSP identifié dans le certificat. Le certificat QSealC identifie la provenance des données et les protège de toute altération.
Le tableau ci-dessous, extrait de PRETA Open Banking Europe, offre un bon aperçu des types de certificat. Il donne des éléments de comparaison qui permettent de savoir quand utiliser chaque type de certificat et pour quelles raisons – mettant ainsi en lumière l’avantage à une utilisation conjointe des deux types de certificat.
En quoi les certificats qualifiés pour la DSP2 diffèrent-ils des certificats qualifiés « ordinaires » ?
Les certificats QWAC et QSealC appartiennent à la catégorie des certificats électroniques qualifiés. En plus des champs habituellement présents dans les certificats, comme O pour Organisation, OU pour Unité d’organisation (Organization Unit) et C pour Pays (Country), ces certificats qualifiés comportent trois champs supplémentaires :
• Le numéro d’autorisation du fournisseur tiers
• Le ou les rôles du fournisseur tiers selon la DSP2
• Le nom de l’autorité nationale compétente
Comment ça marche ?
Tout cela semble très compliqué. Au-delà des nombreux acronymes et abréviations, les processus décrits dans la DSP2 font intervenir de nombreux acteurs très différents.
Voici un graphique pour vous aider à visualiser le processus :
- Tout d’abord, chaque prestataire de services de paiement doit s’enregistrer auprès de son autorité nationale compétente.
- Il prend ensuite contact avec un Prestataire de services de confiance qualifié (PSCQ) comme GlobalSign pour lui demander un certificat qualifié.
- GlobalSign utilise le registre public créé par l’autorité nationale compétente pour valider le prestataire de services de paiement et lui délivre ensuite le certificat QWAC et/ou QSealC.
- Le PSP utilise la ou les API de l’établissement financier pour accéder aux réseaux d’information et de paiement du client. Les certificats QWAC et QSealC servent à identifier le PSP, à chiffrer toutes les communications entre le PSP et le client, et à protéger les données contre toute altération.
- Lorsqu’un client final demande des données, celles-ci lui sont envoyées de manière sécurisée par l’établissement financier via le PSP.
Quelles sont les implications pour les banques ?
Les établissements financiers ont été mandatés pour garantir la mise en place de l’Open Banking dès le 31 décembre 2020. Bien que cette date puisse sembler lointaine, il est préférable de commencer le processus de mise en place des certificats qualifiés appropriés dès maintenant.
Tout prestataire tiers qui souhaite accéder aux données doit être enregistré auprès de son autorité nationale compétente (ANC) et avoir obtenu l’agrément approprié. S’ils obtiennent une licence, ces prestataires tiers peuvent ensuite acheter leurs certificats QWAC et QSealC, et demander en échange l’accès aux API des établissements financiers.
Comment puis-je obtenir un certificat QWAC ou QSealC pour être conforme à la DSP2 ?
Ces certificats sont disponibles auprès de PSCQ comme GlobalSign. Ils peuvent être achetés par des PSP et d’autres fournisseurs tiers après contrôle et validation par l’autorité nationale compétente dont ils dépendent.
Si vous êtes un PSP et que vous avez besoin d’un certificat QWAC ou QSealC, nous pouvons vous aider. Vous retrouverez plus d’informations sur les certificats et les modalités d’achat sur notre page consacrée à la DSP2.
