La sécurité est renforcée au moment de valider le paiement, notamment pour les achats dans le montant est supérieur à 30 euros.
TECHNO - Faire du shopping sur internet devrait devenir plus sûr: de nouvelles normes de sécurité pour les paiements en ligne entrent en vigueur à partir de ce samedi 15 mai et vont progressivement être adoptées par les commerçants.
Les émetteurs de cartes bancaires, banques, opérateurs de paiement, commerçants en ligne, etc. sont désormais tenus de déployer un dispositif dit “d’authentification forte” du client lors de paiements électroniques ou d’opérations bancaires sensibles.
Cela consiste à demander lors d’un paiement en ligne la validation par le client de deux critères de sécurité: l’usage d’un seul code reçu par SMS ne sera plus jugé suffisant et devra être progressivement renforcé au moyen de nouvelles solutions.
À compter de samedi, “l’authentification forte est demandée par les banques françaises, en concertation avec l’écosystème des paiements, pour les achats en ligne”, a indiqué la Fédération bancaire française dans un communiqué.
Reconnaissance biométrique ou mot de passe
Concrètement, au moment de payer sur internet, le client recevra sur un téléphone préalablement identifié une notification l’invitant à s’authentifier, soit au moyen de la saisie d’un code personnel, soit par prise d’empreinte biométrique pour les mobiles équipés (empreinte digitale, reconnaissance faciale ou reconnaissance d’iris).
“Pour les clients qui n’auraient pas de smartphone, les banques proposent des solutions alternatives comme l’utilisation d’un SMS à usage unique couplé à un mot de passe connu par le client, ou encore l’utilisation d’un dispositif physique dédié”, souligne la fédération bancaire.
Ce nouveau dispositif est prévu par la directive européenne dite “DSP2” visant à renforcer le niveau de sécurité des opérations de paiement sur internet en Europe, pour limiter les risques de fraude. Il survient dans le contexte particulier de la crise du Covid-19, qui s’est traduite par une explosion du commerce en ligne.
Or “le taux de fraude est vingt fois plus élevé en e-commerce (0,16% des montants) que dans les commerces de proximité”, relève auprès de l’AFP Jean-Michel Chanavas, délégué général de Mercatel, une association professionnelle spécialiste des questions liées au paiement. “Les commerçants sont tout à fait d’accord pour réduire le niveau de fraude”, mais “l’enjeu était d’arriver à ce que les outils soient là”, ajoute-t-il, se disant notamment vigilant quant aux “achats sur mobiles, où les taux d’échecs sont plus importants et où il reste encore des problèmes à résoudre”.
Mise en œuvre progressive
“Tout ne va pas passer d’un extrême à l’autre”, souligne pour sa part la fédération du e-commerce Fevad, rappelant que ces nouvelles normes de sécurité sont mises en œuvre par étapes depuis plusieurs mois. “On a beaucoup travaillé avec la Banque de France, avec les différents acteurs, les sites (internet). Tout le monde a fait en sorte que ce soit prêt.”
L’authentification forte concernait déjà les montants supérieurs à 500 euros depuis le 15 février, à 250 euros depuis le 15 mars et les transactions au-delà de 100 euros depuis le 15 avril. Certains marchands ont aussi pris de l’avance et basculé l’ensemble de leurs transactions: au total, plus de “80% des montants font d’ores et déjà l’objet d’une authentification forte”, assure Jean-Michel Chanavas.
Pour les autres, “les établissements bancaires, à partir du 15 mai, mettront en œuvre progressivement cette mesure d’authentification forte sur une durée de quatre semaines, afin de laisser un temps d’adaptation aux commerçants”, précise la fédération bancaire.
Ainsi, progressivement à partir de samedi, et définitivement après les quatre semaines d’adaptation, les banques pourront décliner toute transaction non conforme.
Les commerçants en ligne pourront cependant demander sous certaines conditions une exemption d’authentification forte. Par exemple sur les transactions de moins de 30 euros ou jugées peu risquées, comme des paiements réguliers pour des abonnements ou adressés à un bénéficiaire pré-autorisé par le consommateur dans son application bancaire.
Celles qui n'ont pas adopté le nom de leur mari se le voient fréquemment imposé par les impôts, la CAF, la Sécu ou les banques. L'usage continue de prévaloir sur la loi.
Aucune loi n'a jamais contraint les femmes à prendre le nom de leur époux, mais l'administration française fait de la résistance.
En octobre dernier, le gouvernement annonçait mettre fin à une règle jugée «obsolète», qui donnait priorité au nom de l'époux sur l'avis d'imposition –même lorsque l'épouse ne l'avait pas choisi comme nom d'usage.
L'année 2020 sera donc la première à voir (officiellement, puisque certains services le faisaient déjà) les deux noms d'un couple marié figurer sur ces documents.
Or, cette ancienne règle du code général des impôts n'est pas supprimée en vertu de sa nature ouvertement discriminante vis-à-vis des femmes, mais parce qu'elle n'est «plus adaptée à la situation de la loi […] du 17 mai 2013 ouvrant le mariage aux couples de personnes de même sexe».
En France, aucune loi n'a jamais contraint les femmes à prendre le nom de leur époux. L'usage est seulement coutumier, et personne ne perd son nom en prenant celui de la personne épousée, mais gagne un nom d'usage. Les hommes, eux, ont dû attendre 2011 pour qu'un décret leur permette de «substituer» leur nom à celui de leur épouse (en 2012, après un parcours du combattant, un homme a obtenu gain de cause pour la première fois).
En 2002, Ségolène Royal, alors ministre de la Famille, met fin à la prééminence du nom du mari. La réforme, entrée en vigueur trois ans plus tard, fait remplacer dans la loi le «nom patronymique» par le «nom de famille» et permet enfin aux femmes mariées de donner leur nom à leurs enfants.
En théorie donc, la suprématie «légale» du patronyme masculin n'est plus qu'un mauvais souvenir, mais en pratique? Sans surprise, c'est le patriarcat qui gagne.
Solveig, qui s'est mariée en 2016 en conservant son nom, a fait les frais des pratiques périmées typiques de l'administration française: «À partir du moment où j'ai envoyé le certificat de mariage à la CAF pour mettre à jour mon dossier, ils ont carrément rayé mon nom pour mettre celui de mon mari. Je ne recevais plus de courrier à mon nom, mais au sien. J'avais eu quelqu'un au téléphone qui m'avait répondu: “C'est automatique, c'est comme ça.”»
Trois ans plus tard, c'est la Sécurité sociale qui s'y met: «Je suis dans la salle d'attente de mon médecin traitant, avec qui j'ai pris rendez-vous sur Doctolib, et là, on vient m'appeler, mais par le nom de mon mari.»
Solveig a pourtant pris rendez-vous avec son nom de naissance. «Il s'est avéré qu'en connectant ma carte Vitale, j'étais désormais au nom de mon mari! Il faudrait que je change de carte, mais ça me met tellement en rage de devoir faire ces démarches alors que je n'ai jamais rien demandé… Même si ça faciliterait grandement les choses, puisque nous avons des enfants que nous avons choisi d'appeler avec le nom de leur père.»
Elle ne croit pas si bien dire. Géraldine, qui travaillait à la CPAM en 2016, confirme: «Je pouvais pas donner d'information sur ses enfants à une mère qui ne portait pas le même nom qu'eux, il fallait obligatoirement qu'elle présente le livret de famille.»
Pire: «Je ne compte plus les fois où une femme amenait le RIB d'un compte joint, mais comme le nom de l'homme y figure toujours en premier, on ne pouvait pas accepter le RIB sans attestation sur l'honneur de ce dernier.»
Et les galères continuent même après un divorce: «C'était laborieux, pour les femmes divorcées ayant pris le nom de leur mari, de refaire une carte Vitale à leur nom de naissance, puisqu'elles devaient ramener l'intégralité du jugement du divorce, qui fait je ne sais pas combien de pages. Si elles ne fournissaient qu'une copie simple, elles recevaient une nouvelle carte Vitale… au nom de leur ex.»
Marine a épousé Gwendal en mai 2016 et a préféré conserver son nom de famille. «L'année d'après, nous avons donc déclaré notre mariage aux impôts, raconte Gwendal. Comme ma déclaration était très simple, alors que ma femme doit déclarer du foncier, elle s'est mise en première déclarante et moi en deuxième. Mais ma femme touchant deux fois plus que moi à l'époque, je pense que par sexisme, ils ont considéré que c'était forcément moi le déclarant 1. Donc ils ont interverti les déclarants –mais pas les déclarations, évidemment.»
Une erreur pas tout à fait banale et qui entraîne une réaction en chaîne: «En 2018, ma femme étant enceinte, on s'inscrit à la CAF. On se rend compte qu'elle fait la même inversion, parce qu'elle se base en réalité sur les impôts.»
Et ça se complique: «De plus, finissant ma thèse, on doit déclarer que je suis au chômage. Sauf qu'à cause de l'inversion, la CAF va considérer que je ne touche plus les revenus qui correspondent en réalité à ceux de ma femme. Comme on ne veut pas se faire accuser de fraude, on prévient donc la CAF, qui dit ne pouvoir rien faire.»
C'est donc avec les Finances publiques que Gwendal et Marine ont dû batailler, pendant «pas mal de temps», pour que tout rentre dans l'ordre. Contactée, la DGFIP indique qu'il «suffit de faire la demande auprès de son service de rattachement pour que par exemple les avis/déclarations soient envoyés aux deux noms dans un couple marié ou pacsé» et concède «que sur le traitement global de près de 38 millions de foyers fiscaux, quelques erreurs soient à signaler concernant le traitement de ce type de demandes».
Intéressant de constater que ces erreurs ne fonctionnent que dans un sens, toujours le même
Géraldine, l'ancienne employée de la CPAM, confirme que si la case «nom de jeune fille» continue de figurer sur les formulaires à remplir et les dossiers des bénéficiaires, l'équivalent masculin n'existe tout simplement pas.
Des formulaires obsolètes qui énervent Charlie, mariée en 2019 avec un homme qui a pris son nom: «Régulièrement, on doit inscrire le “nom de jeune fille” de mon mari ou alors on tombe sur des formulaires où on ne peut même pas renseigner son nom de naissance… Donc soit on barre la première mention, soit on rajoute la seconde, mais à chaque fois, on se demande si on va encore devoir faire des démarches supplémentaires pour que les noms ne soient pas inversés, ou que son nom d'usage à lui soit respecté.»
Depuis leur mariage, Charlie et son époux ont dû se montrer pédagogues face à nombre d'employé·es peu habitué·es à ce cas de figure: «Une fois, on nous a inscrit comme un couple d'hommes –en plus j'ai un prénom mixte, donc ça n'aide pas. Et quand on leur fait remarquer l'erreur, la réponse c'est très souvent “on ne savait pas que c'était possible”.»
Exemple chez le notaire, en juillet dernier: «Ils ont cru à une erreur de notre part, donc au lieu de revérifier ou de nous demander, ils ont inversé les noms de famille sur le compromis de vente. Puis ils ont osé nous dire qu'ils ignoraient que c'était légal pour le mari de prendre le nom de famille de son épouse, alors que la loi a bientôt dix ans…»
«Dans notre ancienne banque, quand on a voulu faire le changement de nom d'usage pour mon mari, ils ne connaissaient pas la procédure. Alors que logiquement, ça devrait être la même que celle d'une femme qui prend le nom de son époux…», raconte encore Charlie.
Et en changeant d'établissement, rebelote. «Déjà, à l'inscription, la conseillère ne trouvait pas comment lui mettre mon nom en nom d'usage dans le logiciel. Ensuite, à cause d'un prélèvement refusé à mon mari en raison de son changement de nom, on s'est retrouvés avec mon compte personnel à son nom de naissance, et inversement !»
Après trois tentatives de contact via l'espace client de la Banque populaire restées sans réponse, Charlie finit par obtenir gain de cause. «Il a fallu que des virements sur mon compte personnel soient refusés à cause du RIB qui a été mis au nom de mon mari pour que tout ça soit traité sérieusement. La banque n'a jamais cherché à se justifier ou s'excuser. La seule “raison” qu'on nous a donnée, c'est que “c'est pas courant”.»
Catherine, 76 ans, a commencé sa vie professionnelle en 1960, à la BNCI (ancêtre de la BNP). Mariée à 17 ans, à cette époque, elle n'a pas le droit d'ouvrir un compte en banque ni travailler sans l'autorisation de son mari.
Car si la loi du 18 février 1938 a déjà supprimé l'incapacité juridique de la femme mariée et son devoir d'obéissance inscrits dans le code civil (code Napoléon) depuis 1804, il faut attendre le 13 juillet 1965 pour que la réforme des régimes matrimoniaux consacre l'autonomie financière de ces femmes, qui jusqu'alors ne pouvaient signer un chèque, acheter une maison en leur nom propre ou signer un contrat de travail sans l'accord de leur mari.
Cela fait donc cinquante-cinq ans seulement que toutes les Françaises disposent de leurs propres bien et ne sont plus, dans la loi, traitées en éternelles mineures, passant de l'autorité du père à celle du mari.
En 1992, Catherine perd son époux, dont elle avait pris le nom. «Dans l'agence BNP où nous avions notre compte, une dame charmante lisait les avis de décès et vérifiait dans la clientèle qui était concerné. Je reçus donc, sans avoir rien demandé, un chéquier indiquant “Mme veuve Nomdemonmari”.»
Elle refuse une première fois («hors de question d'avoir perpétuellement cette douleur sous les yeux») mais la banque lui renvoie un second carnet de chèques à «Mme Bernard Nomdumari». «Finalement, après une explication assez vive, j'obtins enfin un chéquier à mon nom!»
Catherine dénonce des «blocages» qu'elle estime dus «à un manque criant de connaissance, soigneusement entretenu par des siècles de patriarcat». Pour les contourner et s'éviter des migraines, certaines femmes omettent donc de mentionner le nom de leur mari lorsqu'elles remplissent des papiers. Une astuce que plusieurs se sont vu souffler par… l'administration elle-même.
L'association des américains accidentels a porté plainte contre la France auprès de la Commission européenne pour violation du droit de l'Union européenne. Elle accuse la législation américaine Fatca, qui oblige les banques européennes à transmettre au fisc américain les données bancaires de leurs clients nés aux États-Unis, de ne pas respecter le droit communautaire en matière de protection des données.
C'est une nouvelle étape dans le combat mené par les américains accidentels. L'Association des américains accidentels a annoncé avoir déposé, ce jeudi 3 octobre, une plainte contre la France auprès de la Commission européenne, après avoir été déboutée en juillet par le Conseil d'Etat du refus de ses membres d'être assujettis à une réglementation fiscale. Cette réglementation, le Foreign account tax compliance act (Fatca), adopté par Washington en 2010 et appliqué en France depuis 2014, permet à l'administration fiscale américaine de demander aux banques étrangères des informations sur leurs clients considérés comme des "personnes américaines".
L'association considère que l'accord intergouvernemental franco-américain du 14 novembre 2013, qui permet l'application du Fatca en France, "viole le règlement général de l'UE sur la protection des données" en autorisant le stockage et la transmission massifs aux Etats-Unis des données personnelles", selon un communiqué. Selon les "Américains accidentels", le mécanisme de transmission de données "ne tient pas compte du fait que la plupart de ces personnes n'ont aucun lien avec les États-Unis" et "ne permet pas aux personnes concernées d'accéder aux données qu'elles ont transmises ni de corriger les erreurs qui pourraient s'y glisser".
Le Conseil d'Etat avait pour sa part estimé lors d'une audience début juillet que le Fatca ne présentait pas de défaut d'exécution "avéré" mais tout au plus "des difficultés techniques de mise en oeuvre". Selon le communiqué de l'association, "la Commission européenne dispose d'un délai de 12 mois à compter du 3 octobre pour examiner l'affaire et décider s'il y a lieu d'engager une procédure formelle d'infraction contre la France." La Fédération bancaire française (FBF) avait pour sa part prévenu fin juillet que les banques françaises "pourraient être contraintes de fermer 40.000 comptes d'ici à la fin 2019 faute d'accord sur l'application d'une règlementation fiscale américaine". En refusant de transmettre les informations demandées par les autorités américaines, les banques s'exposeraient à des sanctions à hauteur de 30% de leurs flux financiers avec les Etats-Unis, avait expliqué le patron de la FBF, Laurent Mignon.
En 2017, les Etats-Unis avaient accepté un moratoire valide jusqu'à la fin décembre 2019, stipulant qu'il n'y aurait pas infraction si, faute d'un identifiant fiscal, les banques fournissaient la date de naissance des clients concernés et leur demandaient chaque année des identifiants fiscaux. Mais cette dérogation prendra fin au 1er janvier 2020, "y compris pour les comptes ouverts avant cette date", selon la FBF. Il y a donc urgence à trouver une solution.
La validation de paiements en ligne par code SMS sera bientôt terminée: de nouvelles mesures pour renforcer la sécurité des paiements commencent à entrer en vigueur samedi, avec une mise en oeuvre qui va s'étaler jusqu'à fin 2020-début 2021, a indiqué mercredi l'Observatoire français de la sécurité des moyens de paiements.
Ces nouvelles mesures sont prévues par une directive européenne (dite "DSP 2") visant à renforcer le niveau de sécurité des opérations de paiement sur internet en Europe, pour limiter les risques de fraude.
Pour ce faire, les émetteurs de cartes bancaires et banques, opérateurs de paiement, commerçants en ligne, etc. sont tenus de déployer un dispositif dit "d'authentification forte" du client lors de paiements électroniques ou d'opérations bancaires sensibles.
Les nouvelles règles européennes entreront bien en vigueur en France le 14 septembre prochain, a indiqué mercredi dans un communiqué l'observatoire, rattaché à la banque de France.
Il a confirmé une mise en application jusqu'en décembre 2020 de mesures "d'authentification forte" pour "la grande majorité des clients", conformément à la directive.
Les "professionnels de la chaîne des paiements" devront pour leur part avoir mis à niveau leurs systèmes aux nouvelles exigences réglementaires d'ici mars 2021 .
Concrètement, l'usage d'un seul code reçu par SMS pour sécuriser une transaction ne sera plus jugé suffisant et devra être progressivement renforcé au moyen de nouvelles solutions, telles que la reconnaissance biométrique, combinées à d'autres dispositifs de contrôle. Mais tous les acteurs ne sont pas prêts.
Dans une note publiée le 21 juin, l'Autorité bancaire européenne (ABE), chargée d'élaborer les normes techniques de cette directive, avait décidé d'accorder "un délai supplémentaire limité" aux États membres concernés pour se mettre en conformité avec ces exigences techniques et en échange d'un plan de migration aux échéances précises.
En cause, "les inquiétudes" d'acteurs du marché "quant à l'état de préparation du commerce électronique aux nouvelles exigences" d'authentification forte, risquant de créer des perturbations dans les transactions en ligne.
De plus, selon l'ABE, une information plus large du grand public sur la teneur de ces évolutions s'avérait nécessaire pour réussir l'entrée en vigueur de la directive.
Dans la foulée, début juillet, l'Observatoire français de la sécurité des moyens de paiements avait présenté un plan de migration avec l'objectif d'une mise en œuvre de l'authentification forte pour une nette majorité des clients et des transactions d'ici décembre 2020.
C'est désormais acté, le billet de 500 euros ne sera plus fabriqué. Trop rare et peu utile pour les 340 millions d'Européens utilisant l'euro, sa somme est également jugée trop importante, susceptible d'être un "outil de blanchiment" facile pour les faussaires.
Mais d'autres raisons s'ajoutent à son manque de praticité. Sa disparition s'inscrit dans la logique des banques qui souhaiteraient, à terme, voir le billet disparaître de nos porte-feuilles.
Pour les établissements, favoriser le paiement par carte leur permett d'avoir une gestion beaucoup plus directe de leur matière première, en supprimant les intermédiaires coûteux tels que les agences et leur personnel, les caissiers, les coffres... Pour les banques, c'est une montagne d'économies est à la clé.
Cette opération est d'ailleurs en bonne voie, 47% de la totalité des dépenses des Français sont déjà effectués par carte bancaire. Le paiement sans contact et par téléphone accélère cette mutation.
Le liquide toujours privilégié par les particuliers
Les banquiers sont soutenus dans cette démarche par les États, les paiement électroniques étant plus facile à contrôler, pister ou bloquer. La fin du liquide pourrait également constituer une manière discrète de mettre fin aux économies des particuliers, chaque Européen possédant un pécule moyen de 3.200 euros dissimulé chez lui.
C'est une certitude pour les experts, la monnaie est appelée à disparaître. Si pour le moment, on ignore encore quand cela se concrétisera, le "cash" ferait de la résistance. Encore privilégié par les usagers, il est sans frais pour les particuliers et échappe au système "Big Brothers" informatique. Plus sûr que la monnaie électronique, les espèces demeurent le seul moyen de paiement dans les pays où le système bancaire est fragile ou inexistant.
Finis les essais gratuits qui se transforment en abonnement ! MasterCard demandera désormais des autorisations.
(CCM) — Si cela ne vous est jamais arrivé vous connaissez sans doute quelqu'un qui a connu cette mésaventure bien trop courante : après l'essai gratuit d'un service, on se retrouve soudainement prélevé sur son compte bancaire de la somme d'un abonnement non-désiré et dont il est bien difficile de se débarrasser… Face à cette désagréable pratique, MasterCard a décidé d'imposer de nouvelles règles aux commerçants.
Dans son communiqué de presse (lien en anglais), l'entreprise américaine de système de paiement indique que les commerces - qu'il soient en ligne ou non - devront bientôt demander une autorisation spéciale pour tout prélèvement régulier sur le compte du détenteur d'une carte bancaire Mastercard. Une fois l'autorisation donnée, le commerçant devra envoyer avant chaque échéance un courriel ou un texto indiquant la date du prochain prélèvement, son montant ainsi que des informations pour se désabonner si l'on ne souhaite plus être prélevé.
Une très bonne nouvelle pour toutes les personnes victimes d'une arnaque ou qui se sont rendues compte trop tard qu'elles ont fait le mauvais choix, ou plus simplement pour toutes les têtes-en-l'air qui oublient fréquemment de se désabonner. En revanche, Mastercard n'a pas indiqué à partir de quand ce changement serait effectif, ni s'il serait accessible à tous ses clients dans le monde. Quoiqu'il en soit, on ne peut que saluer cette très bonne idée et souhaiter que d'autres services de cartes bancaires comme Visa ou American Express fassent de même.