Tendances et actualités
2
min

La DSP2 et l’obligation de double-authentification

Sophie Lecomte
30 octobre 2019
Partager cet article

Le mois de septembre 2019, et plus précisément la date du 14, a été marqué par l’entrée en vigueur des normes techniques de la DSP2, la deuxième directive sur les services de paiement. Elle rend notamment obligatoire l’authentification forte du client (Strong Customer Authentification, SCA) via la double authentification lors des paiements électroniques d’un montant de plus de 30 euros. Comme les e-commerçants, denombreux restaurateurs sont donc impactés par ces changements.

Ce que la DSP2 vise

La DSP2, avec cette obligation de SCA, vise à favoriser l’innovation et la concurrence, tout en renforçant la sécurité des consommateurs et en réduisant le taux de fraude côté payeur. Ses objectifs sont clairement arrêtés (voir à ce sujet l’article 98 de la directive) :

« a) Garantir un niveau de sécurité approprié pour les utilisateurs de services de paiement et les prestataires de services de paiement par l’adoption d’exigences efficaces et fondées sur les risques;

b) garantir la sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement;

c) garantir et maintenir une concurrence équitable entre l’ensemble des prestataires de services de paiement;

d) garantir la neutralité du modèle commercial et des technologies;

e) permettre le développement de moyens de paiement innovants, accessibles et faciles à utiliser.”

Les moyens d’authentification forte prévus par la directive

La SCA implique de s’authentifier via au moins 2 éléments parmi les suivants :

  • Ce que le client possède (smartphone, carte à puce, appareil connecté…);
  • Ce qu’il connaît (code PIN, mot de passe…)
  • Ce qu’il est, ce qui le caractérise personnellement (reconnaissance vocale, empreinte digitale…)

Avant cette directive, l’authentification forte était bien sûr recommandée; mais elle est désormais obligatoire pour les achats en ligne. Sans 2 des conditions précitées (“two factors authentification”), le client ne pourra pas effectuer son paiement en ligne. Notons que ces éléments doivent être indépendants l’une de l’autre. C’est à la banque émettrice, à savoir celle de l’acheteur, qu’il reviendra désormais de déclencher l’authentification forte sur la base de son analyse de risques.

Vers le protocole 3D Secure 2

La double authentification est donc au coeur du protocole 3D Secure 2.0, qui vient prendre la relève du 3D Secure tel qu’on le connaissait jusqu’alors – à savoir l’envoi d’un SMS pour confirmer un achat.

Cette évolution devrait pousser les acteurs du secteur du paiement à investir dans de nouvelles technologies biométriques. En effet, l’une des inquiétudes les plus prononcées des e-commerçants est la baisse du taux de conversion lors du shopping en ligne. L’expérience client risque en effet d’être moins fluide, tant que l’authentification n’est pas facilitée. Aujourd’hui, de bons exemples de double authentification déjà en place incluent par exemple Apple Pay.

Les dérogations à la double authentification

La DSP2 prévoit des exceptions :

  • Les paiements inférieurs à 30 euros

Il s’agit d’opérations d’un montant limité et pour lesquelles on estime que le risque est faible.

  • Les opérations récurrentes, paiements échelonnés et abonnements

Cela concerne moins les restaurateurs, mais la DSP2 permet aux opérations récurrentes d’un même montant de ne pas être soumises à l’authentification forte, et ce dès la 2nde opération.

  • Les transactions “MOTO”

Les transactions MOTO (Mail Orders and Telephone Orders), c’est-à-dire passées par e-mail ou par téléphone, sont exemptées, car elles ne sont pas considérées comme un paiement électronique.

  • Les listes blanches

Chaque client a la possibilité d’ajouter des “bénéficiaires de confiance” à une liste blanche. Cette dernière est conservée par la banque. Dans ce cas, l’authentification via 3D Secure n’est pas nécessaire.

  • Les paiements par carte professionnelle

Tout paiement effectué avec une carte d’affaires ne sera pas concerné par les exigences relatives à la SCA.

  • Les transactions inter-régionales

Si l’émetteur du paiement ou l’acquéreur de la carte n’est pas basé en Europe, la transaction est également exemptée de double authentification. Rien n’empêche cependant de décider de l’implémenter.

Quel impact pour les restaurateurs ?

Dès lors que vous acceptez des paiements en ligne (pour votre site de commande en ligne ou le Click and collect par exemple), vous devez prendre en compte cette nouvelle législation.

Heureusement, des options adaptées à la DSP2 existent à l’heure actuelle. Par exemple, en passant via la suite logicielle d’Innovorder, vous bénéficiez de l’authentification forte grâce à l’intégration de Stripe à la solution.

Mis à jour le

Contacter un expert
Prendre RDV
Partager cet article
Ces articles pourraient vous intéresser
Abonnez-vous à notre newsletter.
Rejoignez notre newsletter Produit & Marketing, nous vous enverrons des actualités pertinentes tous les mois.