Prolongation au-delà du 14 septembre 2019 du délai de mise en conformité aux exigences d’authentification forte des clients (SCA) du règlement (UE) n° 2018/389 de la Commission pour les transactions de paiement e-commerce effectuées par carte de paiement
La loi du 20 juillet 2018 modifiant la loi du 10 novembre 2009 relative aux services de paiement et transposant en droit luxembourgeois la directive (UE) 2015/2366 concernant les services de paiement (PSD2), ainsi que le règlement délégué de la Commission européenne (UE) 2018/389 sur les normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication (RTS sur les SCA et CSC), exigent des prestataires de services de paiement (établissements de crédit, établissements de paiement, établissements de monnaie électronique) de mettre en place, pour le 14 septembre 2019, des solutions d’authentification forte du client (SCA) qui permettent de garantir la sécurité des accès à leurs comptes de paiement en ligne et la sécurité de l’initiation d’opérations de paiement électroniques.
La CSSF est consciente de la complexité des changements de mise en conformité nécessaires dans le domaine des paiements e-commerce par carte de paiement, compte-tenu de la nature et du nombre de parties prenantes (systèmes de cartes, prestataires de services de paiement émetteurs et acquéreurs, prestataires de services informatiques, commerçants en ligne, utilisateurs de services de paiement) devant s’adapter pour être en mesure d’appliquer ou de demander une authentification forte du client.
Ainsi, faisant suite à l’Opinion de l’Autorité Bancaire Européenne (ABE) du 21 juin 2019 qui laisse la possibilité aux autorités nationales compétentes de prolonger si besoin le délai de mise en œuvre de la SCA et afin de minimiser le risque de perturbations involontaires dans le secteur sensible du commerce électronique, la CSSF accorde aux entités concernées une prolongation du délai de mise en œuvre de la SCA au-delà du 14 septembre 2019. Cette prolongation ne s’applique qu’à la catégorie des paiements e-commerce par carte de paiement.
Étant donné la nature transfrontalière du e-commerce, l’adoption d’une date butoir de mise en conformité commune et harmonisée au niveau européen est jugée essentielle. La CSSF participera donc aux futures discussions sur un calendrier à l’échelle de l’UE qui sera précisé par l’ABE (après la collecte et le traitement des données nationales individuelles) et qui sera annoncé au cours du dernier trimestre de cette année.
Les entités concernées supervisées par la CSSF qui souhaitent faire usage de ce délai supplémentaire sont tenues d’en informer la CSSF et devront lui soumettre un plan de migration détaillé, conformément au calendrier qui sera indiqué par l’ABE. Ce plan devra comprendre, entre autres, les initiatives de communication prévues par l’entité pour informer ses clients commerçants et/ou utilisateurs (consommateurs et entreprises) de la migration vers une SCA et pour les y impliquer.