La réglementation interdit aux initiateurs de paiement de conserver les données de paiement sensibles concernant l’utilisateur. Une authentification est par ailleurs nécessaire à chaque fois qu’un paiement est réalisé. Si un initiateur conservait de telles données, il s’exposerait à des sanctions de la part de l’ACPR. 

L’authentification forte implique la confirmation d’au moins deux facteurs d’authentification de catégories différentes parmi les trois catégories suivantes :

1. la possession (une clé, un téléphone portable, etc.)
2. la connaissance (un mot de passe) 
3. l’inhérence (une empreinte digitale)

Dans une grande majorité des cas, l’authentification forte implique l’ouverture de l’application mobile de banque en ligne de l’utilisateur et la saisie d’un mot de passe (ou le contrôle de l’empreinte digitale) sur un téléphone préalablement enregistré par l’établissement teneur de compte. Cette méthode remplace l’envoi d’un SMS sur le téléphone portable, qui ne remplit qu’un seul des deux critères s’il n’est pas associé à la confirmation d’un mot de passe. 

L’authentification forte permet de renforcer significativement la sécurité pour la connexion à votre espace de banque en ligne et pour l’émission de paiements. Un utilisateur malveillant ne pourrait accéder à l’espace d’un autre utilisateur avec le seul mot de passe. Lors d’un paiement par carte sur Internet, la saisie des informations de la carte de paiement n’est pas suffisante pour effectuer la transaction. L’authentification forte prévue par la DSP2 est plus sécurisée que le seul SMS car il n’est pas impossible d’intercepter les SMS de confirmation de paiement envoyés par les établissements teneurs de comptes (technique du SIM Swapping).

La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés, dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones et ne pouvant donc installer les solutions mobiles des banques françaises permettant une authentification forte. Les solutions alternatives qui pourraient être proposées sont les suivantes :

• Le maintien du code envoyé par SMS ou par serveur vocal associé à un code personnel. Dans ce cas de figure, le consommateur valide la transaction sur Internet en saisissant dans deux champs distincts :

1. le code reçu par SMS ou par serveur vocal interactif
2. un code personnel statique qui lui a été communiqué par sa banque (par exemple, le code d’accès à sa banque en ligne).
   
   La cinématique de paiement est donc globalement inchangée, moyennant l’ajout d’un champ de saisie supplémentaire sur la page de validation, ce qui constitue une solution de continuité.

• L’utilisation d’un dispositif physique mis à disposition par la banque, en particulier pour la clientèle « sédentaire » qui effectue ses achats en ligne systématiquement depuis son domicile. Dans ce cas de figure, la banque a équipé le consommateur d’un dispositif lui permettant de s’authentifier de manière sécurisée, et qui peut prendre différentes formes : générateur de codes doté d’un clavier de saisie, clef USB, lecteur de QR code, etc. Dans ce cas, la banque doit veiller à apporter à son client tout le support et l’assistance nécessaires à la bonne prise en main de ce dispositif.

Un prélèvement est une opération dite « à la main du payé ». Il est particulièrement adapté pour le paiement des factures récurrentes, ou des abonnements, que leur montant soit fixe ou variable.

Le prélèvement permet à un créancier (celui qui est payé) de demander à son prestataire de services de paiement (généralement sa banque) de débiter le compte d’un payeur (vous). Pour cela, le créancier doit disposer d’une autorisation du payeur, afin de lui permettre d’initier des débits sur son compte. Cette autorisation est matérialisée par un mandat de prélèvement.

Depuis le 1er août 2014, on parle de prélèvement SEPA pour « Single Euro Payments Area », qui est un espace unique de paiement comprenant l’ensemble de l’Union européenne et plusieurs pays associés (les pays membres de l’espace économique européen, la Suisse, Andorre, Monaco, Saint-Marin, le Vatican et le Royaume-Uni). Le prélèvement SEPA a donc remplacé les différents instruments de prélèvement dits « nationaux ».

 Il faudra l’accompagner d’un Relevé d’Identité Bancaire (RIB) du compte à débiter, comprenant votre numéro de compte au format européen, appelé IBAN (International Bank Account Number) ainsi que le code identifiant de votre banque, appelé BIC (Bank Identifier Code).

Le mandat SEPA papier doit impérativement contenir au minimum les données suivantes :

• le titre « Mandat de prélèvement SEPA » ;
• la référence unique de mandat (« RUM ») fournie de préférence dès l’émission du mandat par le créancier. Si elle ne figure pas sur l’exemplaire transmis au débiteur, elle doit obligatoirement être insérée sur le mandat par le créancier (avant archivage papier) et communiquée au débiteur avant envoi des opérations de prélèvement SEPA ;
• les coordonnées du créancier : l’adresse et le nom ou la dénomination sociale, ou le nom ou la dénomination commerciale, s'il est différent ;
• l’identifiant du créancier SEPA (ICS) ;
• les mentions suivantes : « En signant ce formulaire de mandat, vous autorisez (A) {NOM DU CREANCIER} à envoyer des instructions à votre banque pour débiter votre compte, et (B) votre banque à débiter votre compte conformément aux instructions de {NOM DU CREANCIER}. Vous bénéficiez du droit d’être remboursé par votre banque selon les conditions décrites dans la convention que vous avez passée avec elle. Une demande de remboursement doit être présentée dans les 8 semaines suivant la date de débit de votre compte pour un prélèvement autorisé.»
   

Les mandats de prélèvement SEPA sont valables :

• pour un seul prélèvement dans les cas où l’autorisation du débiteur ne porte que sur un prélèvement dit « ponctuel » ;
• jusqu'à révocation de l’accord du débiteur dans les cas où l’autorisation du débiteur porte sur une série de prélèvements. Un mandat de prélèvement SEPA peut en effet être révoqué à tout moment sur demande du débiteur auprès de son créancier. Il est vivement recommandé au débiteur d’informer sa banque de toute révocation.

Un mandat pour lequel aucun ordre de prélèvement SEPA n’a été présenté pendant une période de 36 mois (à compter de la date d’échéance du dernier prélèvement SEPA, même si celui-ci a été refusé, rejeté, retourné ou remboursé par la banque du débiteur) devient caduc et ne doit donc plus être utilisé.
 

Oui.
Avant d’émettre tout prélèvement SEPA, un créancier est tenu de fournir à ses clients débiteurs une notification préalable au moins 14 jours calendaires avant la date d’échéance du prélèvement SEPA (sauf accord bilatéral sur un délai différent) et par tout moyen à sa convenance (facture, avis, échéancier, etc.). Cette notification devra au minimum contenir la date d’échéance du prélèvement ainsi que son montant.

Les consommateurs français ont la possibilité de réaliser des prélèvements en euro sans que le créancier ne puisse exiger que le compte bancaire utilisé à cet effet soit domicilié en France. Par ailleurs, tout Européen peut ouvrir un compte dans l’établissement bancaire de son choix, même dans un autre pays de l’Union européenne.
 
Un créancier français ne peut donc pas refuser les IBAN émis dans d’autres pays. De même, un créancier français ne peut pas refuser les IBAN émis par les établissements de paiement ou de monnaie électronique.
 
Toute discrimination fondée sur la domiciliation bancaire est passible de sanctions.
 
Si vous êtes victime d’une telle discrimination, vous pouvez le signaler à la DGCCRF (direction générale de la Concurrence, de la Consommation et de la Répression des fraudes) via le site SignalConso.