DSP2 : La Directive européenne sur les services de paiement : Une réglementation au cœur de nos quotidiens

La mise en place de la directive sur les services de paiement a deux objectifs clés :

• Assurer la protection des consommateurs
• Renforcer la concurrence en garantissant des conditions de concurrence équitables dans un marché en mutation rapide

L’objectif premier d’assurer la protection des consommateurs passe par une amélioration de la sécurité des paiements électroniques. C’est la raison pour laquelle les normes techniques de réglementation instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Les prestataires de services de paiements incluent les banques et les autres établissements de paiements. Ces normes définissent les exigences à remplir pour permettre une « authentification forte » des clients. Il faut savoir qu’avant DSP2, l’authentification forte restait seulement recommandée ; avec DSP2 elle devient obligatoire. Les normes techniques prévues dans la DSP2 font de l’authentification forte la condition de base pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne.

Cela implique que désormais pour prouver son identité l’utilisateur devra répondre au moins à deux des trois conditions suivantes :

• Connaissance : Un mot de passe ou un code que seul l’utilisateur connait
• Possession : Un appareil (téléphone mobile, carte à puce, etc) que seul l’utilisateur possède
• Inhérence : Une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale ou faciale)

En rendant l’authentification forte obligatoire, le but de la directive est que l’identité des utilisateurs soit vérifiée pour toutes les transactions à distance et de proximité, et ce quel que soit le canal utilisé.

Dates clés de la réglementation :

• Application depuis le 13 janvier 2018, sauf en ce qui concerne les mesures de sécurité décrites dans les normes techniques.
• Le recours à l’authentification forte est rendu obligatoire 18 mois après l’entrée en vigueur des normes techniques de réglementation, c’est-à-dire après la publication au Journal Officiel de l’Union européenne. L’échéance était le 14 septembre 2019.
• Ainsi, le 16 octobre 2019, l’EBA accorde un délai supplémentaire fixé au 31 décembre 2020.
• Une nouvelle phase de bilan est déterminée ensuite pour une durée de trois mois. L’entrée en vigueur était alors établie pour le 1 Avril 2021. Or, l’impact de la pandémie a changé la donne. La Banque de France joue la carte de la compréhension en repoussant une nouvelle fois l’échéance au 15 mai 2021.
• Un délai de grâce de 4 semaines est cependant accordé à partir du 15 mai pour aider les commerçants (et les clients) à s’adapter. Il semblerait donc que si après cette date les acteurs en ligne ne se conforment pas, les opérations seront rejetées au risque pour eux de perdre des clients. Les 18 mois de délai octroyés au départ n’ont pas suffi à mettre en œuvre les solutions techniques nécessaires. En effet, si les établissements bancaires ont progressivement installé le système 3D Secure 2.0 qui permet la double authentification, ce n’est pas le cas de la plupart des autres prestataires de paiement. Par ailleurs, les établissements bancaires n’ont pas encore tous réussi à installer les interfaces de programmation (API) requises pour des échanges de données plus sécurisés. En France, si 80% d’entre eux déclaraient s’être penchés sur le sujet, seulement 10% d’entre eux étaient opérationnels à cette date.

La mise en place ayant été décalée à plusieurs reprises il ne semble pas inenvisageable qu’elle soit repoussée une nouvelle fois

Des exceptions à la règle :

La directive européenne prévoit cependant quelques exceptions (citées ci-dessous) à la mise en place de l’authentification forte. Ces exceptions font suite à des craintes soulevées par certains e-commerçants. En effet, bien que cette réglementation soit efficace contre la fraude, certains professionnels du secteur regrettent qu’elle rallonge le tunnel d’achat et fasse baisser le taux de conversion.

• Les opérations à faible montant et à risque faible : il s’agit des montants inférieurs à 30 euros.
• Les abonnements et opérations récurrentes : ils ne seront pas soumis à l’authentification forte dans la mesure où leur montant ne varie pas. Seule l’opération initiale nécessite une procédure SCA. Si le montant est modifié, l’authentification via 3D Secure sera demandée à chaque changement.
• Les listes blanches : Chaque usager a la possibilité de se créer une liste de bénéficiaires de confiance. Ceux-ci ne seront donc pas concernés par l’authentification forte. Le but avec cette exception est d’éviter aux consommateurs qui achètent régulièrement auprès d’une même enseigne d’entrer des SCA supplémentaires.
• Les transactions MOTO : Les commandes de type Mail Orders and Telephone Orders seront systématiquement exemptées d’authentification.
• Les transactions inter-régionales : Lorsque l’émetteur d’un paiement ou l’acquéreur de la carte ne sont pas basés en Europe, la transaction est exemptée de l’authentification forte prévue par la DSP2.
• Les paiements par carte d’affaires : Les paiements effectués avec une carte professionnelle ne sont pas concernés par l’authentification forte.

L’application de la DSP2 chamboule un secteur des paiements en ligne bien rôdé. L’e-commerce est attentif à fluidifier au maximum le parcours d’achat de sa clientèle sur leur site. Or, le paiement est un moment critique où la moindre friction peut tout faire échouer. C’est ce risque encouru que dénoncent les e-commerçants avec l’application de la DSP2 qui ajoute une étape dans ce parcours.