L’Organisation de coopération et de développement économiques (OCDE) définit ainsi une transaction électronique :
“Une transaction électronique est la vente ou l’achat de biens ou de services, entre entreprises, ménages, individus, gouvernements et autres organismes publics ou privés, qui s’effectue sur des réseaux informatiques.»”
Les transactions électroniques existent depuis des années. Les services financiers ont notamment fait évoluer cette technologie en facilitant la réalisation de transactions électroniques devenues plus rapides. Mais pour un grand nombre de transactions, il y a toujours eu un manque : l’identité.
Le simple fait de cocher la case «J’accepte» pour une transaction en ligne ne suffit pas à prouver que vous avez expressément donné votre consentement. Pour les services financiers, cette technique et d’autres tactiques — comme le consentement vocal enregistré et les signatures manuscrites en ligne — n’offrent aucune certitude absolue sur le fait que la personne concernée a donné son consentement.
C’est là que les identités numériques entrent en jeu. Une «identité numérique» est un moyen de prouver son identité en ligne, comme on le fait dans la vraie vie avec son permis de conduire ou son passeport. Le processus de transaction électronique se divise en trois étapes :
- L’identification initiale (basée sur un document d’identité réel)
- L’authentification (basée sur les identifiants fournis à la première étape)
- L’autorisation (signature et approbation d’un document financier)
Avec un tel processus de communication électronique, en cas de litige, il est parfois compliqué de prouver de manière définitive que l’autorisation a réellement été donnée. Sur le plan juridique, il est indispensable de prouver son identité.
L’identité est également devenue une exigence de conformité. Avec les réglementations comme le règlement européen sur l’identification pour les transactions électroniques (eIDAS), la loi [britannique] sur les communications électroniques, la directive sur les services de paiements 2 (DSP2) et la loi sur le crédit à la consommation, les organismes (notamment financiers) doivent prendre les mesures appropriées pour vérifier l’identité des personnes qui effectuent des transactions en ligne avec eux.
Prenons quelques cas d’utilisation classiques pour les transactions électroniques et étudions la manière dont un établissement de services financiers peut vérifier un client à l’aide de son identité, tout en respectant les règles sectorielles en vigueur.
Mandats électroniques de prélèvement SEPA (e-mandats)
Dans un mandat de prélèvement, votre client autorise votre entreprise à prélever les paiements à venir. Cette autorisation se présente généralement sous la forme d’un formulaire papier rempli par votre client. Jusqu’à présent, cette méthode était suffisamment simple, mais face au succès du «zéro papier» en entreprise, les mandats de prélèvement doivent également être dématérialisés.
Quel est le problème avec ces e-mandats dématérialisés ? Ils requièrent l’approbation de votre banque, qui doit valider toutes les informations présentées à vos clients. Une fois le paiement et l’approbation de votre client obtenus, ces informations doivent être transmises à votre banque par voie électronique. La banque reçoit alors vos instructions de prélèvement.
En mai 2014, le Conseil des paiements de détail en euros (Euro Retail Payments board) avait discuté des problèmes inhérents aux e-mandats et des solutions pour les prélèvements SEPA.
Figure 1 : https://gocardless.com/guides/sepa/mandates/
Ce document, fort intéressant du reste, présente les nombreuses problématiques auxquelles l’eIDAS et le PSD2 apportent désormais une réponse. En particulier sur le «manque de confiance». Dans de nombreuses entreprises, les débiteurs peuvent venir de l’étranger (hors états membres), et avoir des prestataires de services de paiements (PSP) différents ou des fournisseurs d’e-mandats indépendants, ce qui complique le suivi des autorisations.
Ce document proposait la mise en place de solutions d’authentification des deux côtés. L’authentification avec le client et l’authentification avec le mandat.
Pour authentifier les deux côtés, il était suggéré d’utiliser des certificats PKI à la manière de signatures électroniques avancées. Voir le tableau ci-après.
Conventions de crédit
Une convention de crédit comprend un contrat qui doit être signé par le client. Cela fait partie du processus de souscription d’un prêt immobilier, ou d’autres transactions financières. Mais pour porter cette transaction dans un environnement en ligne, il faut avoir la certitude que le signataire est la bonne personne et que les informations transmises au client par le service financier sont correctes — d’où l’intérêt d’une solution de type «signature électronique».
Au Royaume-Uni, la loi sur le crédit à la consommation a été modifiée en 2004 pour prendre en compte les signatures électroniques. Le 26 février 2014, les conclusions de la Haute Cour dans l’affaire Bassano contre Toft établissaient qu’une signature électronique constituait une preuve suffisante de la bonne exécution de la convention de crédit, et s’inscrivait dans le droit fil de la loi sur le crédit à la consommation. En clair, Mme Bassano ne pouvait arguer, comme elle tentait de le faire, que les conditions dans lesquelles elle avait obtenu son prêt étaient inapplicables et non valides.
Cette décision a de quoi rassurer les services de prêts financiers qui utilisent les signatures électroniques. Qui plus est, les nouvelles réglementations comme l’eIDAS encouragent vivement l’utilisation de signatures électroniques plus fiables. Au final, on a plus de garanties que le signataire est la personne qu’il affirme être et qu’aucune modification n’a été apportée au document après la signature.
Utilisation de certificats numériques aux fins d’identification dans les transactions électroniques
Pour résumer, l’eIDAS attend des organismes financiers qu’ils appliquent des niveaux de fiabilité et de confiance élevés au travers de la mise en œuvre de signatures électroniques avancées ou qualifiées — ce que les certificats numériques permettent d’obtenir.
Un certificat numérique s’achète auprès d’une autorité de certification comme GlobalSign. Avant l’émission du certificat, l’identité de la personne (c’est-à-dire du client potentiel) fait l’objet de contrôles rigoureux. On obtient alors un certificat unique, propre à la personne et pratiquement impossible à usurper ou falsifier.
La personne peut utiliser le certificat pour signer numériquement les transactions électroniques. Les signatures numériques offrent des garanties supérieures aux autres types de signatures électroniques du fait de leur lien unique avec le signataire et de leur capacité à empêcher toute modification ultérieure d’un document signé. L’intégration d’un horodatage de tiers dans la signature garantit la non-répudiation de la date et de l’heure de signature du document.
Les autorités de certification travaillent d’arrache-pied pour garantir la fiabilité et la compatibilité de leurs racines avec les principales applications logicielles comme Adobe et Microsoft. Elles cherchent à ce que les signatures appliquées à l’aide de leurs certificats soient automatiquement reconnues et vérifiées. L’avantage : une expérience utilisateur fluide et transparente pour toutes les personnes qui interviennent dans la transaction électronique.
Figure 2 - Exemple de certificat non fiable dans Adobe Reader
Figure 3 — Exemple de certificat fiable dans Adobe Reader
Identité : exemples d’utilisations pour améliorer les interactions financières
Pour mettre tout cela en contexte, je souhaiterais vous présenter quelques scénarios d’utilisation possibles des certificats numériques pour les services financiers avec de nombreux avantages à la clé : amélioration de leurs services, avantage sur la concurrence, conformité réglementaire, expérience client transparente et confiance accrue pour les transactions électroniques (dans un contexte juridique).
Cas d’utilisation 1 : Mandats électroniques
Dans un scénario classique, on considère qu’un mandat est accepté lorsque le débiteur coche la case indiquant qu’il accepte le mandat. Dans la vraie vie, il est impossible de savoir si c’est le vrai débiteur qui a donné son accord, car cela peut être son cousin, ou même un hacker...
Pour éviter toute ambiguïté, une société tierce émet un certificat numérique pour le débiteur après avoir vérifié son identité. Le certificat est conservé sur le téléphone du débiteur, ou sur un autre appareil auquel seul le débiteur a accès pour pouvoir signer l’accord à l’aide de son certificat. Capable d’effectuer ses transactions même en déplacement, le débiteur profite d’une expérience utilisateur d’un niveau de simplicité inédit.
Cas d’utilisation 2 : Signatures de conventions de prêt n’importe où dans le monde
Supposons que vous ne soyez pas obligé de rencontrer physiquement vos clients et que vous puissiez mener vos transactions financières en ligne ou par téléphone de bout en bout. Pour les clients, ce serait un gain de temps, car ils pourraient effectuer leurs transactions n’importe où dans le monde.
L’intégration de solutions de signature électronique à votre application mobile permettrait à votre entreprise de dématérialiser totalement la transaction. Vous pourriez envoyer une convention de prêt que votre client pourrait signer en toute confiance, car les vérifications d’identité auraient déjà été effectuées par un fournisseur de services d’identité externe de confiance.
Dans un tel scénario, le téléphone de votre client se mue en un terminal de création de signatures sécurisées qui lui permet de prouver son identité.
Comment se présente la suite pour les services financiers ?
Il est temps de commencer à réfléchir à votre infrastructure de certificats numériques. Vous cherchez à vous mettre en conformité ? À vous démarquer de la concurrence ? À prouver les identités dans un contexte juridique et à respecter les réglementations en vigueur comme l’eIDAS ? Appelez-nous vite.