1. Les États membres veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur:
a) |
accède à son compte de paiement en ligne; |
b) |
initie une opération de paiement électronique; |
c) |
exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. |
2. En ce qui concerne l’initiation des opérations de paiement électronique visée au paragraphe 1, point b), les États membres veillent à ce que, pour les opérations de paiement électronique à distance, les prestataires de services de paiement appliquent l’authentification forte du client comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.
3. Eu égard au paragraphe 1, les États membres veillent à ce que les prestataires de services de paiement aient mis en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.
4. Les paragraphes 2 et 3 s’appliquent également lorsque les paiements sont initiés par l’intermédiaire d’un prestataire de services d’initiation de paiement. Les paragraphes 1 et 3 s’appliquent également lorsque l’information est demandée par l’intermédiaire d’un prestataire de services d’information sur les comptes.
5. Les États membres veillent à ce que le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services d’initiation de paiement et le prestataire de services d’information sur les comptes à se fonder sur les procédures d’authentification prévues par le prestataire de services de paiement gestionnaire du compte à l’intention de l’utilisateur de services de paiement conformément aux paragraphes 1 et 3 et, lorsque le prestataire de services d’initiation de paiement intervient, conformément aux paragraphes 1, 2 et 3.
Si l'interprétation que donne la CNIL de l'article 6 du règlement est correcte, alors elle a pu compétemment la rappeler et l'expliciter dans le cadre d'une recommandation, […] Tout en écartant expressément la base légale prévue au b) du paragraphe 1 de l'article 6, à savoir le fondement contractuel, en- dehors des abonnements donnant lieu à paiements réguliers, elle a implicitement mais nécessairement exclu l'application des autres bases légales énumérées aux c) à f). […] 97). 9 Qui peuvent être basés sur la connaissance (d'un mot de passe, de la réponse à une question secrète...), sur la possession (un objet que seul l'utilisateur possède, […]
Lire la suite…