La question de contourner Certicode Plus revient régulièrement dans les recherches des utilisateurs bancaires français. Derrière cette formulation se cachent des réalités très différentes : un client qui a perdu son téléphone, un expatrié sans réseau français, ou encore un particulier qui cherche une alternative technique à ce dispositif. Ce que peu de gens savent, c’est que la législation encadrant ces pratiques a évolué significativement, et que 2026 marque un tournant réglementaire. Tenter de contourner certicode sans comprendre le cadre légal expose à des risques réels. Voici ce que dit la loi, comment fonctionne réellement ce service, et quelles options légales existent pour les utilisateurs en difficulté.
Certicode Plus : définition et fonctionnement concret
Certicode Plus est un service d’authentification forte proposé principalement par La Banque Postale à ses clients particuliers et professionnels. Son principe repose sur la génération d’un code temporaire à usage unique, transmis via une application mobile dédiée ou par SMS, permettant de valider des opérations sensibles comme un virement, un achat en ligne ou une modification de coordonnées bancaires.
Ce dispositif s’inscrit dans le cadre de la directive européenne DSP2 (Directive sur les Services de Paiement 2), qui impose aux établissements bancaires de l’Union européenne de mettre en place une authentification à deux facteurs pour sécuriser les transactions. La France a transposé cette directive dans son droit national, rendant ce type de mécanisme obligatoire pour tous les prestataires de services de paiement agréés.
Concrètement, Certicode Plus fonctionne en trois étapes. L’utilisateur initie une opération depuis son espace bancaire en ligne. La banque envoie une notification push sur l’application mobile enregistrée. Le client valide ou refuse l’opération depuis son smartphone. Ce schéma paraît simple, mais il crée des frictions pour les utilisateurs sans smartphone récent, sans forfait mobile actif ou vivant à l’étranger avec un numéro non français.
Le service est proposé sans frais supplémentaires dans la majorité des offres bancaires, bien que certains forfaits premium incluent des fonctionnalités étendues. Les tarifs exacts varient selon les offres et méritent d’être vérifiés directement auprès de l’établissement. Une proportion significative des clients de La Banque Postale utilise ce dispositif, même si les chiffres précis ne sont pas publiés officiellement. L’adoption reste hétérogène selon les tranches d’âge, les seniors rencontrant davantage de difficultés avec l’application mobile.
La CNIL surveille attentivement les conditions de collecte et de traitement des données dans ces systèmes d’authentification. Chaque validation via Certicode Plus génère des métadonnées (horodatage, localisation approximative, identifiant d’appareil) qui sont conservées selon des durées définies par la réglementation bancaire française.
Pourquoi l’authentification forte est devenue non négociable
La fraude bancaire en ligne représente des centaines de millions d’euros de pertes annuelles en France. L’Observatoire de la sécurité des moyens de paiement, rattaché à la Banque de France, publie chaque année des statistiques qui montrent une sophistication croissante des attaques par phishing, vishing et usurpation d’identité. C’est précisément pour contrer ces menaces que l’authentification forte a été généralisée.
Avant la DSP2, un simple mot de passe suffisait pour valider la plupart des opérations. Ce modèle présentait une faille évidente : si le mot de passe était compromis, l’ensemble du compte était exposé. Le passage à deux facteurs d’authentification réduit drastiquement ce risque, puisqu’un attaquant doit simultanément posséder les identifiants et l’accès physique au téléphone enregistré.
L’ARCEP joue un rôle indirect dans ce dispositif, en régulant la qualité des réseaux mobiles sur lesquels reposent les SMS de validation. Une couverture réseau insuffisante dans certaines zones rurales ou en situation d’itinérance internationale peut rendre ces SMS inaccessibles, ce qui explique pourquoi certains utilisateurs cherchent des alternatives.
La sécurité a un coût en termes d’expérience utilisateur. Les banques le savent. Elles tentent de trouver un équilibre entre protection et fluidité, mais la réglementation ne leur laisse que peu de marge de manœuvre sur les opérations dépassant certains seuils de montant. Un virement de plus de 30 euros vers un nouveau bénéficiaire déclenche systématiquement une authentification forte, sans exception possible.
Ce que la réglementation prévoit en 2026
L’année 2026 marque l’entrée en application de plusieurs textes qui modifient le cadre juridique autour des services d’authentification bancaire. La DSP3, successeur de la DSP2, est en cours de finalisation au niveau européen. Elle prévoit des exigences renforcées en matière d’interopérabilité entre les systèmes d’authentification des différents établissements, ainsi qu’une meilleure prise en compte des situations d’exclusion numérique.
Le texte impose aux banques de proposer systématiquement une alternative non numérique à l’authentification forte pour les clients qui ne peuvent pas utiliser un smartphone. Cette disposition change considérablement la donne : là où les banques pouvaient jusqu’ici se contenter de proposer Certicode Plus comme seul moyen de validation sécurisée, elles devront désormais maintenir des canaux alternatifs accessibles.
Sur le plan pénal, la législation française est claire. Tenter de contourner un dispositif de sécurité informatique sans autorisation relève de l’article 323-1 du Code pénal, qui punit l’accès frauduleux à un système de traitement automatisé de données. Les peines peuvent atteindre deux ans d’emprisonnement et 60 000 euros d’amende, aggravées si l’acte est commis avec l’intention de modifier ou supprimer des données.
La nuance légale importante : utiliser une alternative officielle proposée par sa propre banque ne constitue pas un contournement au sens juridique. Demander à son conseiller de désactiver temporairement Certicode Plus pour activer un autre dispositif est une démarche légale et encadrée. Ce qui est illégal, c’est d’exploiter une faille technique pour bypasser le système sans l’accord de l’établissement.
La CNIL a par ailleurs précisé dans ses recommandations 2025 que les banques ne peuvent pas refuser de traiter une demande de modification du dispositif d’authentification si le client justifie d’une impossibilité technique légitime. Cette précision ouvre la voie à des recours formels pour les utilisateurs bloqués.
Les alternatives légales pour les utilisateurs en difficulté
Plusieurs options concrètes existent pour les personnes qui ne peuvent pas utiliser Certicode Plus dans leur situation actuelle. Ces solutions sont toutes accessibles sans enfreindre la loi, à condition de passer par les canaux officiels de sa banque.
- La carte de clés personnelles : certaines banques proposent une carte physique à gratter contenant des codes à usage unique, utilisable en remplacement de l’application mobile pour les clients sans smartphone compatible.
- Le lecteur de carte bancaire avec clavier : dispositif physique permettant de générer des codes de validation sans passer par le réseau mobile, particulièrement utile pour les clients en zone blanche ou à l’étranger.
- Le rendez-vous en agence : pour les opérations ponctuelles urgentes, se présenter physiquement avec une pièce d’identité permet dans la majorité des cas de faire valider une opération sans authentification numérique.
- Le changement de numéro de téléphone enregistré : si le problème vient d’un changement de SIM ou d’opérateur, contacter le service client permet de mettre à jour le numéro associé au compte, restaurant l’accès au dispositif.
Pour les expatriés français vivant hors de l’Union européenne, la situation est plus complexe. Certains opérateurs proposent des numéros virtuels français qui permettent de recevoir les SMS de validation depuis l’étranger. Cette pratique est légale tant que le numéro est bien au nom du titulaire du compte et déclaré à la banque.
Les utilisateurs d’iPhone ou d’Android rencontrant des problèmes techniques avec l’application Certicode Plus peuvent souvent résoudre leurs difficultés en désinstallant puis réinstallant l’application, en vérifiant les autorisations de notification, ou en contactant le support technique dédié. La banque a l’obligation de fournir une assistance technique pour ses propres dispositifs de sécurité.
Une démarche souvent ignorée : le médiateur bancaire. Si votre banque refuse de vous proposer une alternative à Certicode Plus malgré une impossibilité technique documentée, saisir le médiateur est un recours gratuit et efficace. La médiation bancaire a traité plusieurs milliers de dossiers liés à l’exclusion numérique ces dernières années, avec un taux de résolution favorable aux clients dans une majorité des cas.
La vraie réponse à la question du contournement n’est donc pas technique mais administrative. Les droits des utilisateurs sont réels, les alternatives légales existent, et la réglementation de 2026 renforce encore ces protections. Agir dans le cadre officiel protège à la fois votre accès au compte et votre responsabilité pénale.
