Depuis septembre 2019, il y a de nouvelles normes concernant l’authentification des paiements en ligne dans l’Union européenne (UE) et dans les États de l’Espace économique européen (EEE). Elles font partie de la deuxième Directive sur les services de paiement, également connue officiellement sous le nom de DSP2 (Directive sur les services de paiement 2). La mise en œuvre de toutes les normes devrait finir en 2021.
Un élément important de la deuxième Directive européenne sur les services de paiement est l’authentification forte des clients (Strong Customer Authentication ou SCA en abrégé), également appelée « DSP2-SCA ». Cet article examine de plus près les normes de la « Strong Customer Authentication » : derrière elle se cache toute une série de normes juridiques qui ont pour but de rendre les paiements sur Internet plus sûrs.
Qu’est-ce que la SCA et quelle sera son importance lors des paiements futurs ? Quels sont les paiements déjà concernés par la Directive, quelles sont les exceptions et comment le processus de paiement peut-il être optimisé ? Ces questions seront traitées en détail dans les prochains paragraphes.
Qu’est-ce que la SCA et quel est son intérêt pour les paiements futurs ? En bref, l’authentification forte des clients, ou Strong Customer Authentication, fait partie d’une nouvelle Directive européenne qui vise à rendre les paiements en ligne plus sûrs en réduisant les possibilités de fraude. Sa principale innovation est une étape d’authentification supplémentaire qui précède le paiement proprement dit.
Conformément à la Directive DSP2-SCA, les paiements en ligne ne seront authentifiés que si deux des trois étapes suivantes sont respectées :
L’Autorité bancaire européenne (ABE) a résumé dans un avis .docx la liste détaillée des éléments qui sont conformes aux trois étapes d’authentification.
Strong Customer Authentication décrit une authentification dite à deux facteurs, qui garantit à deux reprises que l’utilisateur est réellement celui qu’il prétend être.
Le principe existe depuis longtemps dans de nombreux domaines en ligne, mais cette norme de sécurité supplémentaire n’était pas encore obligatoire pour les transactions en ligne. Il suffisait aux client de simplement saisir leurs coordonnées bancaires lors d’un achat pour le compléter. Bien que certaines entreprises aient introduit l’authentification forte des clients depuis un certain temps, la DSP2-SCA vient seulement de rendre cette étape supplémentaire obligatoire pour tous les fournisseurs.
La deuxième Directive européenne sur les paiements a déjà été introduite le 14 septembre 2019. Cependant, la date limite pour la mise en œuvre complète de toutes les exigences est en 2021. Mais l’histoire de l’authentification forte des clients remonte à plus loin encore.
La Directive européenne s’appuie sur trois domaines clés de la législation de 2007. À l’époque, tout comme aujourd’hui, l’Union européenne traitait de ces problématiques :
Ces aspects ont été intégrés dans la première édition de la Directive sur les services de paiement (DSP). Toutefois, depuis son introduction, les progrès technologiques dans les opérations de paiement ont continué à se développer à un rythme effréné : le nombre de services de paiement en ligne et de fournisseurs tiers (ou TPP pour Third-Party-Providers), a également augmenté, offrant aux acheteurs des moyens entièrement nouveaux de payer facilement et rapidement. De plus, cela a permis aux vendeurs d’accéder aux informations personnelles sur les comptes des clients.
Toutefois, cela a également laissé l’accès aux comptes des consommateurs ouvert, entraînant un risque accru pour la sécurité. La réponse a rapidement pris la forme de lois claires réglementant les modalités d’accès des TPP et des prestataires de services de paiement aux comptes des clients.
Strong Customer Authentication est désormais la prochaine étape pour réduire la fraude dans les transactions en ligne. Cette technologie sera utilisée pour toutes les transactions financières effectuées dans l’UE. La loi prend effet dès que le prestataire de services de paiement de l’entreprise, la banque ou le fournisseur de cartes du donneur d’ordre est basé dans l’Espace économique européen (EEE). Ainsi, même pour les entreprises en ligne dont le siège social est situé hors Europe, les transactions peuvent être soumises à une authentification forte du client, à condition que le paiement soit effectué par une banque de l’Espace économique européen, par exemple.
Il s’agit d’une loi européenne qui affecte également les prestataires basés en dehors de l’EEE : c’est pourquoi les nouvelles exigences en matière d’authentification des paiements en ligne sont si complexes à mettre en place. Les prestataires de services de paiement ont donc déjà demandé à plusieurs reprises un délai dans la mise en œuvre de la DSP2-SCA. Il n’y a à l’heure actuelle aucun échéancier concret.
3D Secure est le protocole d’authentification le plus largement utilisé pour les paiements en ligne. Il est proposé par la grande majorité des cartes de débit et de crédit européennes et est donc le plus populaire. Immédiatement avant la fin du processus de paiement, le titulaire de la carte est invité à fournir des informations supplémentaires comme la saisie d’un numéro d’identification personnel (TAN) envoyé à un téléphone portable ou d’une empreinte digitale via l’application bancaire.
Pour la Strong Customer Authentication, la nouvelle version 3D Secure 2 est utilisée, ce qui fait d’elle la principale méthode officielle d’authentification des paiements par carte en ligne. Les améliorations de la nouvelle version sont principalement destinées à l’expérience de l’utilisateur. Les paiements en ligne sont donc assez faciles et rapides à effectuer, malgré les étapes d’authentification supplémentaires.
Ceux qui paient avec Apple Pay ou Google Pay utilisent déjà une option de paiement en ligne avec une étape d’authentification intégrée. Les deux fournisseurs ont déjà mis en place des mesures biométriques et protections par mot de passe, mais le processus de paiement est transparent pour les clients, un exemple parfait de la technologie qui sous-tend la DSP2-SCA.
DSP2-SCA s’applique à chaque fois qu’un client transfère de l’argent ou accède à son compte dans l’Espace économique européen. Strong Customer Authentication est donc toujours obligatoire quand :
Comme pour toute loi, il existe des exceptions comme lors du paiement d’un abonnement. Dans ce cas, l’authentification forte n’a lieu que lorsqu’un abonnement est accepté, mais plus pendant la durée de celui-ci. Parmi les autres exceptions possibles, on peut citer les paiements à faible risque pour lesquels une authentification forte du client n’est pas nécessaire ou peut même être dérangeante.
Toutes les banques ne sont pas en mesure d’intégrer facilement des étapes d’authentification supplémentaires dans leurs processus. Si elles peuvent assurer la sécurité et la minimisation des risques d’une manière différente et vérifiable, des exceptions sont également envisageables ici.
Des seuils existent également pour les transferts de petits montants. Par exemple, les transactions d’une valeur maximale de 30 euros sont considérées comme des paiements de « faible valeur », qui peuvent en principe être exemptés de la DSP2-SCA. Toutefois, afin de ne pas permettre une accumulation des fraudes, il existe déjà des règles claires pour les montants de faible valeur :
Les exemptions seront très utiles, en particulier pour les petites entreprises en ligne. Toutefois, il faut rappeler qu’en fin de compte, c’est la banque du client qui décide si ces exemptions sont approuvées ou non. Pour éviter de perdre des clients, il est conseillé de proposer plusieurs options de paiement conformes à la DSP2-SCA aujourd’hui.
La manière d’acheter des marchandises se déplace et se transforme sans cesse sur Internet. En effet, les achats en ligne se multiplient sur le Web et prennent une importance croissante. Le secteur des services a également, et ce depuis longtemps, considéré le Web comme un canal de distribution porteur. Le e-commerce reste cependant freiné par les nombreux doutes que suscitent les différentes...
Il n’y a pas si longtemps, faire ses courses sur Internet requérait impérativement la possession d’une carte de crédit. Aujourd’hui, des services de paiement en ligne ont vu le jour afin de faciliter les transactions sur Internet, et pour garantir plus de confidentialité. Mais quel système de paiement en ligne utiliser ?
Google veut révolutionner le paiement en ligne et hors ligne. Google Pay, le successeur de Google Wallet, est le nouveau service de paiement en ligne Google qui facilite les paiements. L’application de paiement mobile pourrait même rendre l’argent liquide superflu, favorisant ainsi un paiement digital via notre simple téléphone mobile. Si le service n’est pas encore disponible en France, une...
Le paiement mobile est en plein développement à travers le monde. Les principaux fournisseurs d’options de paiement mobile se sont également implantés en France. Mais certains consommateurs restent sceptiques, principalement à cause d’un manque d’informations. Voici un aperçu des applications de paiement mobile les plus utilisées en France, de leurs fonctionnalités et de leurs fonctions de...
Lorsqu’il s’agit de paiement sur Internet, les clients veulent avant tout que ce soit sécurisé et pratique. Le paiement ne doit pas prendre beaucoup de temps, mais aussi satisfaire aux exigences en matière de protection des données car il s’agit d’informations sensibles. Avec la Directive sur les services de paiement 2 (DSP2), l’UE présente une nouvelle version pour mieux réglementer les paiements...
Offrez un service performant et fiable à vos clients avec l'hébergement web de IONOS.
Voir les packs
