跳至主要內容
Certyneo
Guide DSP2 & SCA · 2026

DSP2 et authentification forte (SCA) : le guide de la signature électronique conforme

La deuxième directive sur les services de paiement (DSP2, directive (UE) 2015/2366) impose l'authentification forte du client (Strong Customer Authentication, SCA) pour accéder à un compte de paiement en ligne, initier un paiement électronique ou effectuer toute action à distance présentant un risque de fraude. Ce guide explique comment la signature électronique avancée (AES) conforme eIDAS satisfait ces exigences pour les banques, établissements de paiement et fintechs.

Mis à jour le

Qu'est-ce que l'authentification forte du client (SCA) au sens de la DSP2 ?

L'article 97 de la directive (UE) 2015/2366 (DSP2) impose l'authentification forte du client. Ses modalités techniques sont précisées par le règlement délégué (UE) 2018/389 (Regulatory Technical Standards, RTS). Le SCA repose sur au moins deux éléments indépendants appartenant à des catégories différentes.

  • Connaissance : un élément que seul le client connaît (mot de passe, code)
  • Possession : un élément que seul le client détient (téléphone recevant un OTP SMS)
  • Inhérence : un élément que le client est (biométrie) — optionnel si les deux autres sont réunis
  • Lien dynamique : pour un paiement, le code doit être lié au montant et au bénéficiaire (art. 5 RTS UE 2018/389)

Quels actes bancaires relèvent de l'authentification forte ?

Ouverture de compte de paiement et convention de compte
Mandat de prélèvement SEPA (première mise en place)
Dossier d'entrée en relation et KYC à distance
Souscription à distance de services financiers
Mandat de gestion et ordre de virement à enjeu
Modification d'un moyen de paiement ou d'un plafond

À quoi ressemble un parcours de signature conforme SCA ?

  1. 1

    Identifier le client (connaissance)

    Le client accède à l'enveloppe via un lien sécurisé et s'authentifie par un premier facteur (email + mot de passe, ou identifiant Certyneo). C'est l'élément de connaissance.

  2. 2

    Vérifier la possession (OTP)

    Un code à usage unique (OTP) est envoyé par SMS sur le téléphone préalablement vérifié du client. La saisie du code prouve la possession — deuxième facteur indépendant.

  3. 3

    Signer avec horodatage qualifié

    Le client appose sa signature avancée (AES). Certyneo génère un certificat de signature unique et un horodatage qualifié conforme à l'article 26 du règlement eIDAS.

  4. 4

    Produire l'audit trail SCA

    Le PDF de preuve documente les deux facteurs, l'horodatage qualifié, le hash SHA-256 et l'IP — opposable à l'ACPR pour démontrer la conformité SCA du parcours.

Questions fréquentes — DSP2 & authentification forte

La signature avancée (AES) suffit-elle à satisfaire le SCA de la DSP2 ?
Oui, lorsqu'elle combine deux facteurs indépendants. La signature avancée Certyneo couvre la connaissance (mot de passe / email de signature) et la possession (OTP SMS sur un téléphone vérifié) : deux éléments de catégories différentes, conformes à l'article 97 de la DSP2 et au règlement délégué (UE) 2018/389. La biométrie (inhérence) n'est pas nécessaire dès lors que ces deux facteurs sont réunis.
Quelle différence entre authentification forte (SCA) et signature électronique ?
Le SCA authentifie l'accès et l'intention du client au moment d'une opération sensible ; la signature électronique scelle un document avec une valeur probante durable. Certyneo combine les deux : le parcours d'authentification forte alimente directement l'audit trail de la signature, de sorte que la preuve d'authentification et la preuve de consentement forment un tout opposable.
Qu'est-ce que le lien dynamique exigé pour les paiements ?
L'article 5 du règlement délégué (UE) 2018/389 impose, pour une opération de paiement, que le code d'authentification soit spécifiquement lié au montant et au bénéficiaire. Toute modification de ces données invalide le code. Pour la signature d'un mandat ou d'un ordre, l'intégrité garantie par le hash SHA-256 du document remplit une fonction équivalente de non-altération.
Existe-t-il des exemptions à l'authentification forte ?
Oui. Le règlement délégué (UE) 2018/389 prévoit des exemptions (paiements de faible montant, opérations récurrentes, bénéficiaires de confiance, analyse du risque de transaction). Elles concernent l'exécution de paiements, non la signature d'un acte contractuel : la signature d'une convention de compte ou d'un mandat reste soumise aux exigences probatoires de l'article 1367 du Code civil.
L'audit trail est-il opposable à l'ACPR en cas de contrôle ?
Oui. L'audit trail Certyneo documente les deux facteurs d'authentification, l'horodatage qualifié, l'intégrité du document et l'identité du signataire. Exportable en PDF certifié, il permet de démontrer à l'Autorité de contrôle prudentiel et de résolution (ACPR) que le parcours respecte les exigences SCA de la DSP2.
Guide complet signature électronique · Solution Certyneo pour banque & assurance · Guide eIDAS — niveaux SES/AES/QES · Signer une ouverture de compte pro en ligne · Signer un mandat SEPA entreprise en ligne

Mettre en place un parcours de signature conforme SCA

Plan gratuit permanent (5 enveloppes / mois), sans carte bancaire. Authentification forte DSP2 (OTP SMS), signature avancée eIDAS, audit trail opposable et archivage 10 ans inclus.