Le droit de l’Union Européenne embrasse la quasi-totalité des questions juridiques du quotidien, et le paiement en ligne n’y échappe pas. Les directives européennes sur le sujet se succèdent. Leur point d’orgue ? Garantir la sécurité des paiements sur Internet.
À l’occasion de l’introduction de la norme SCA par la DSP2 en septembre prochain, l’équipe d’Axonaut revient avec vous sur les nouvelles obligations impactant les transactions en ligne.
De la DSP1 à la DSP2 : Vers une prévention renforcée de la fraude bancaire
Après la loi sur la réglementation RGPD, c’est maintenant la lutte contre la fraude des paiements qui est au cœur des politiques européennes. Dans sa volonté d’harmoniser le marché européen des paiements, l’Union Européenne octroie une place croissante à la sécurisation des transactions en ligne.
DSP1 : Un premier pas vers la réglementation européenne des services de paiement
La DSP, « Directive sur les Services de Paiements » entrée en application en 2009, constituait un premier pas vers l’encadrement et la sécurisation des paiements en ligne sur le marché commun.
L’objectif essentiel ? Préparer la création d’un marché européen des opérations de paiement, en abaissant les barrières techniques, commerciales et légales des marchés nationaux des paiements.
DSP2 : Une sécurisation renforcée des paiements en ligne
Ce dispositif est en passe d’être approfondi pour en éviter les dérives. En effet, la DSP2 va plus loin dans l’encadrement des transactions. Dans son objectif de modernisation des services de paiement européens, elle insiste notamment sur la sécurisation des paiements en ligne.
Définitivement adoptée en 2015 puis progressivement appliquée, sa mise en œuvre définitive est prévue pour septembre 2019. Un délai d’adaptation de 18 mois avait en effet été prévu pour certaines mesures, parmi lesquelles la SCA.
Les acteurs économiques ont ainsi pu, ces derniers mois, se préparer aux nouvelles obligations contraignant le paiement en ligne.
DSP2 et SCA : Ce qui change pour le paiement en ligne en septembre 2019
La DSP2 a vocation à prévenir les dérives affectant les paiements en ligne, de la manière la plus efficace et moderne possible. Elle introduit à cette fin une notion phare : l’authentification forte du client, sous le sigle « SCA ». Cette réforme à grande échelle concerne la majorité des paiements en ligne effectués par un client européen.
La SCA, ou l’introduction d’une authentification à 2 facteurs
L’une des mesures phares de la DSP2 est l’introduction de la SCA. De son nom complet la « Strong Consumer Authentification », on la traduit en français par « l’authentification forte du client ».
Le procédé SCA devient ainsi la nouvelle exigence européenne en matière de paiements en ligne. Il a vocation à prévenir la fraude bancaire de façon plus efficace que les procédés jusqu’alors utilisés.
Le principe ? La SCA introduit l’authentification à deux facteurs. Pour valider la transaction, le consommateur devra utiliser deux des trois facteurs suivants :
- Un facteur de possession : un appareil ou objet, telle qu’une montre connectée.
- Un facteur d’inhérence (biométrie) : reconnaissance vocale ou faciale, empreintes…
- Un facteur de connaissance : un code ou mot de passe.
Ces facteurs, visant à garantir l’identité du client, constituent un rempart supplémentaire contre la fraude bancaire.
La mise en œuvre de cette directive européenne marque donc la fin du 3D Secure tel qu’on le connaissait jusqu’à présent. Un seul code reçu par SMS ne sera en effet plus suffisant !
Quelles dérogations à la SCA ?
Difficile d’échapper à la réforme SCA introduite par la DSP2. En effet, le principe est sans équivoque : les paiements en ligne sont soumis de façon impérative à l’authentification forte.
Cependant, quelques paiements échappent à la nouvelle norme SCA. Pour ne pas pénaliser plus que de raison l’expérience client et le taux de conversion, l’accent est mis sur les paiements plus importants et moins fréquents.
C’est ainsi que les transactions de faible montant, inférieures à 30 euros, échappent à la SCA. Attention cependant : il existe des restrictions journalières en termes de montants et de nombre d’opérations.
Les paiements réguliers, tels que les systèmes par abonnement, sont également sujets à exemption. Si leur montant reste constant, seule la transaction initiale est soumise au procédé SCA.
En outre, les transactions « à faible risque » peuvent faire l’objet d’une exemption. Cette hypothèse est un peu plus complexe. La dérogation dépend du niveau de risque du paiement, déterminé grâce à un taux moyen de fraude. Cela nécessite donc une analyse transaction par transaction.
Il existe d’autres dérogations à l’authentification forte. Parmi elles, on retrouve l’utilisation d’une carte professionnelle ou la constitution par le client d’une liste blanche d’e-commerçants auprès de sa banque. Les transactions MOTO (passées par courrier ou téléphone) et les transactions inter-régionales sont aussi sujettes à exemption.
Introduction de l’authentification forte : quel impact concret pour les e-commerçants ?
La nouvelle norme SCA contenue dans la DSP2 fait l’objet d’inquiétudes de la part des commerçants. Outre des problématiques techniques, l’introduction de la SCA risque de pénaliser le parcours client.
Norme SCA : comment s’assurer de sa conformité à la DSP2 ?
La DSP2 provoque un chamboulement technologique du paiement par CB. L’introduction de la SCA devrait amener les acteurs bancaires et commerciaux à se tourner vers la biométrie pour remplacer les anciennes méthodes d’authentification.
Les nouveaux procédés pourraient notamment avoir recours aux empreintes digitales ou à la reconnaissance faciale. Cependant, ces techniques imposent la détention d’un appareillage spécifique, comme un smartphone à reconnaissance biométrique ou un lecteur d’empreintes digitales intégré à la carte bancaire.
Pour cette raison, cette évolution s’étendra certainement sur le long terme. Difficile en effet de supprimer définitivement et subitement la simple authentification par SMS, procédé utilisé depuis des années par la grande majorité des prestataires de paiement.
Il est en tout cas de la responsabilité des commerçants, à partir de l’automne, de veiller à ce que leurs transactions soient conformes. Pour ce faire, sauf exemption, il leur faudra créer une étape supplémentaire d’authentification pour tous les paiements en CB réalisés sur leur site.
Plusieurs voies s’offrent alors à eux. La délégation du processus à un prestataire de service de paiement apparaît comme la voie la plus aisée. Il est également possible de créer une infrastructure de paiement sur mesure, ou encore d’appliquer la nouvelle technologie 3D Secure 2.0 à l’ensemble des transactions.
Quels impacts pour Axonaut ?
Outre les considérations techniques de mise en place de la SCA, les e-commerçants risquent de voir leur tunnel de conversion se dégrader.
À l’instar de la mise en place du 3D Secure en France à partir de 2008, l’authentification forte risque d’accroître encore un peu plus le nombre de transactions abandonnées. Une procédure de paiement trop longue ou trop confuse provoquerait des répercussions commerciales catastrophiques.
Sans parler du non-respect de la norme SCA, qui pourrait avoir pour effet de refuser toute transaction sur le site Internet !
Il est alors très important pour les e-commerçants d’anticiper au maximum l’introduction de la SCA par la DSP2. Outre l’évolution technologique du paiement par CB, cela passe par l’optimisation minutieuse de chaque étape parcours client, encore davantage qu’habituellement.
C’est pour cela que chez Axonaut, tout a été anticipé ! Pas d’inquiétude ! Axonaut et Stripe se chargent de faire disparaître cette complexité, en mettant en place les mesures adéquates pour vous placer en conformité avec la norme SCA. Ainsi, vous pourrez faire payer vos clients directement en ligne lorsqu’ils reçoivent votre facture. Cela permet de raccourcir les délais de paiement, d’éliminer les impayés et d’être en accord avec la nouvelle directive européenne !
Au menu ? Une expérience client améliorée et un gain de temps significatif pour votre entreprise.
Si vous souhaitez en savoir plus sur le sujet, n’hésitez pas à nous contacter directement à support@axonaut.com.
