Depuis aujourd’hui, mardi 15 juin, votre banque ne peut plus reculer : elle doit mieux sécuriser vos paiements par carte sur internet. La plupart des marques ont choisi d’utiliser pour cela leur application pour smartphone. Mais comment faire si vous avez un mobile ancienne génération ?
L’authentification forte, c’est (finalement) parti ! Après avoir repoussé l’échéance d’un mois, du 15 mai au 15 juin, officiellement pour permettre aux sites marchands retardataires de se préparer, les banques françaises doivent désormais protéger les achats en ligne de leurs clients avec de nouvelles procédures plus sûres. Une obligation issue d’un texte européen, la directive révisée sur les moyens de paiement (DSP2).
Comment ça se passe ? Si vous êtes amateur d’e-commerce, vous l’avez peut-être déjà expérimenté. La plupart des marques bancaires ont fait le choix de s’appuyer sur leur application mobile : vous recevez une notification vous permettant de lancer cette application et d’authentifier « fortement » avec un code secret ou un capteur biométrique (Touch ID, Face ID, etc.).
Pour autant, tout le monde ne possède pas de smartphone. C’est même un Français sur 5, environ, qui en est resté à un mobile ancienne génération. Pour éviter de les laisser au bord de la route, les régulateurs français ont donc demandé aux banques de proposer une méthode alternative et gratuite, ne nécessitant pas d’installer une application. Toutes, pourtant, n’ont pas encore de solutions conformes.
Les alternatives possibles
La grande majorité des marques proposent des alternatives. Deux en particulier. La première s’appuie sur un code dynamique, à usage unique, envoyé par SMS. Vous ne serez pas dépaysé : cette solution, connue sous le nom de 3D Secure V1, existe depuis longtemps. Mais elle n’est pas conforme à la DSP2 : pour qu’elle le devienne, votre banque doit également vous demander un code supplémentaire, statique celui-là. Résultat : sur la page de validation du paiement, vous devez renseigner deux codes au lieu d’un, en faisant bien attention de le faire dans le bon ordre. Pas l’idéal, mais mieux que rien.
Cette solution, toutefois, nécessite de posséder un mobile. Pour les très rares Français qui n’en ont pas, ou qui ne souhaitent pas l’utiliser pour ce type d’opérations, deux enseignes ont prévu une autre alternative. Les groupes Banque Populaire-Caisse d’Epargne (BPCE) et Crédit Mutuel Alliance Fédérale (y compris le CIC) fournissent aux clients qui le souhaitent un boîtier électronique autonome, capable de générer des codes de sécurité. Un bémol toutefois : ce boîtier, baptisé Digipass, est payant (29 euros) au Crédit Mutuel et au CIC.