Avez-vous entendu parler de “DSP2” lors des derniers événements e-commerce auxquels vous avez participé, ou bien lu quelques brèves à ce sujet ? La DSP2, pour Directive Européenne sur les Services de Paiement 2, est une directive européenne mise en application depuis le 13 janvier 2018 dont l’objectif est d’augmenter la sécurité des transactions en ligne.
Cette directive comprend plusieurs obligations en matière de paiement en ligne. L'une d'entre elles, la mise en place d’un nouveau standard de 3-D Secure (le 3-D Secure 2.0), est en vigueur depuis le 15 mai 2021. En tant que solution de paiement, Payplug est directement concernée par ce renforcement des contrôles d’authentification. Nous souhaitons donc revenir dans cet article sur les fondements de la DSP2 et sur ce que cela implique pour l'ensemble des e-commerçants.
Nous mettons cet article régulièrement à jour en fonction des dernières actualités sur la DSP2.
Qu’est-ce que la DSP2 ?
Comme expliqué en introduction, l'un des objectifs de la DSP2 est de lutter contre la fraude en renforçant l’authentification du payeur, et ce de manière plus intelligente. Plus simplement : vérifier que la personne qui procède à un achat en ligne est sans aucun doute possible le propriétaire de la carte bancaire utilisée.
À noter : toutes les transactions ne sont pas concernées par la mise en place du 3-D Secure 2.0. Voici quelques exemples de types de paiements qui ne sont pas concernés par cette directive :
- Les paiements inférieurs à 30€, dans la limite de 100€ par jour et 5 transactions consécutives. Ainsi, si votre panier moyen est de moins de 30€, il y a de grandes chances pour que la DPS2 ait peu de conséquences sur votre activité.
- Les ventes par téléphone
- Les paiements récurrents (abonnements)
Aujourd’hui, c’est le 3-D Secure (que l'on nommera 3-D Secure 1.0) qui permet d’authentifier le porteur de carte : votre acheteur renseigne en effet un code envoyé le plus souvent par SMS, afin de terminer sa commande. Vous l'avez d'ailleurs certainement vous-même déjà reçu lors d'un achat en ligne. Seul le porteur de carte peut obtenir ce code, donc une personne qui a subtilisé la carte ne pourra pas passer de commande en ligne. Voilà comment une fraude est évitée aujourd'hui !
En tant qu'e-commerçant, vous pouvez choisir de déclencher ou non le 3-D Secure grâce aux technologies actuelles : en l’appliquant soit à partir d’un montant, soit de manière intelligente via un outil tel que notre Smart 3-D Secure.
Avec la DSP2, l'authentification du porteur de carte se fera via le 3-D Secure 2.0 qui permet la gestion de deux modes d’authentification différents. C'est de manière automatique que l'un ou l'autre sera sélectionné. Le mécanisme vous est expliqué un peu plus loin dans l'article.
- L’authentification forte - pour votre client, elle équivaut au 3-D Secure 1.0... en mieux : elle offrira par exemple la possibilité pour l'acheteur de s'authentifier via empreinte digitale au moment de confirmer qu’il est bien le propriétaire de la carte bancaire utilisée. Aujourd'hui la seule option est en effet le renseignement d'un code, reçu par SMS ou récupéré via un boîtier. Ces deux éléments ne seront plus suffisants à partir du 15 mai prochain.
- L’authentification sans friction - l'authentification se fera de manière transparente pour votre client, grâce aux données échangées entre votre solution de paiement et la banque de votre client. Celui-ci n'a dans ce cas-là pas besoin de renseigner de code particulier afin de terminer sa commande.
Nous vous proposons de découvrir un peu plus en détail ces deux modes d'authentifications.
L'authentification forte
Le but de l’authentification forte est de renforcer la sécurité des paiements, en se basant sur l’utilisation d’au moins 2 des 3 facteurs suivants :
- Connaissance : “quelque chose que l’utilisateur connaît”, par exemple un mot de passe.
- Possession : “quelque chose que l’utilisateur possède”, comme un téléphone ou un ordinateur
- Inhérence : “quelque chose que l’utilisateur est”, illustré par une empreinte digitale ou une reconnaissance faciale
C’est la banque de votre client qui va décider pour l’ensemble de ses porteurs de carte quels facteurs ils devront utiliser pour s’authentifier : certaines demanderont par exemple systématiquement une empreinte pour terminer un achat réalisé sur smartphone soumis à une authentification forte.
L’authentification sans friction
Elle signifie concrètement que votre client ne sera pas soumis au 3-D Secure 2.0. Cela est rendu possible par une meilleure communication entre les solutions de paiement et les banques de vos clients, notamment via l’échange automatique d’informations sur les transactions telles que l’adresse de livraison et de facturation. En effet, la DSP2 prévoit une liste d'informations obligatoires, renseignées par les solutions de paiement, qui sont nécessaires pour permettre une authentification sans friction.
La sélection automatique du mode d'authentification demandé
Qu'est-ce qui explique que l’un ou l’autre des types d’authentification sera utilisé ? 3 acteurs sont impliqués dans le processus de déclenchement : votre solution de paiement, l'acquéreur (la banque qui réalise les "demandes" de transactions pour vous) et la banque émettrice (la banque de votre acheteur).
Lorsqu'un acheteur passera commande sur votre boutique, votre solution de paiement “demandera” l’authentification forte ou sans friction, et en fin de parcours, c’est la banque de votre client qui acceptera (ou non) le type d’authentification suggéré. D'où l'importance pour votre solution de paiement d'entretenir une relation de proximité avec la banque émettrice. En effet, cela permet de maximiser les chances pour que les préférences de type d'authentification émises soient majoritairement acceptées.
Schéma explicatif de la sélection du mode d'authentification
En fonction de la réponse de sa banque, votre client sera soumis à une authentification forte ou bien une authentification sans friction.
Quelles sont les obligations de votre solution de paiement ?
Votre solution a 4 obligations principales face à cette nouvelle directive :
- Mettre son module de paiement en conformité ;
- Proposer une solution pour que les transactions aient bien lieu si la banque de l'un de vos acheteurs n'est pas en conformité avec la DSP2 ;
- S’assurer que tous les types de transactions (récurrentes, fractionnées, en un clic) sont gérées en conformité avec la DSP2 ;
- Être en support pour toutes vos questions sur le sujet.
Nous vous invitons à vous rapprocher au plus tôt de votre solution de paiement pour vous assurer que ses services sont bien conformes. Pour tous les marchands qui utilisent Payplug, rassurez-vous, c'est déjà le cas ! Notre API ainsi que nos modules de paiement ont été mis à jour pour vous mettre en conformité avec cette directive.
Quels sont les risques, si votre solution de paiement n’est pas conforme à la DSP2 ?
Si votre solution de paiement n’est pas conforme à la DSP2 d’ici mai 2021, ce sont deux conséquences clés qu’il vous faut anticiper :
- L’augmentation significative des transactions soumises à l’authentification forte : en effet, la banque émettrice, ne recevant pas les données qu'elle attend, peut choisir de demander une authentification forte pour s'assurer que le payeur est bien le porteur de carte. Ce type de situation peut se traduire par un allongement des étapes dans le tunnel d’achat de vos clients et donc une diminution de la conversion de vos ventes.
- L’augmentation du nombre de transactions échouées : en effet, si votre solution de paiement n’a pas fait le nécessaire et “demande” un paiement de type 3-D Secure 1.0, la banque de votre client peut décider de refuser le paiement, en l'absence d'authentification suffisante (par les données, ou deux facteurs comme nous l’avons vu).
Etant donnée la conséquence de ces deux risques sur votre chiffre d'affaires, nous vous conseillons de vous rapprocher dès maintenant d'une solution de paiement garantissant sa compatibilité avec la DSP2 pour maximiser vos ventes.
Quelles sont vos obligations, en tant qu’e-commerçant ?
Vos deux seules obligations consistent à :
- Vous assurer que votre solution de paiement est bien conforme à la Directive Européenne sur les Services de Paiement 2 ;
- Suivre ses recommandations pour que votre boutique dispose bien de toute mise à jour préparée par votre solution de paiement.
En fonction de votre solution de paiement, cela peut nécessiter de votre part l’ajout d’un module supplémentaire ou bien la mise à jour de votre module actuel.
Si vous avez des questions sur cette directive, n’hésitez pas à nous contacter. Vous pouvez également consulter cet article sur notre centre d'assistance.