DSP2 : L'Authentification Forte du Client

Comment l'authentification forte du client s'inscrit-elle dans le cadre de la directive DSP2 et comment préparer votre entreprise à la transition ?

Jusqu'ici, nous nous sommes intéressés aux principaux changements qui concerneront votre entreprise dès l'application de la « Directive sur les services de paiement 2 » (DSP2), et à son impact attendu sur les marketplaces. Dans cet article, nous allons parler de la nécessité pour les entreprises d'adopter une authentification forte de type SCA pour les paiements en ligne.

Pour simplifier le problème, du moins en partie, nous allons expliquer ce qu'est la SCA, comment anticiper la nouvelle directive et citer les exceptions prévues.

Qu'est-ce que la Strong Customer Authentication (SCA) ?

L'authentification dite « SCA » est une nouvelle exigence européenne, mise en place pour améliorer la sécurité les paiements en ligne. C'est un processus qui consiste à rajouter des niveaux d’authentification pour effectuer un achat. Il existe cependant des exceptions, que nous ne manquerons pas de citer dans cet article.

À l’heure actuelle, l'outil d’authentification employé par les réseaux de cartes pour vérifier les transactions s'appelle 3D Secure 1.0. Vous le connaissez déjà : c'est l'outil qui vous redirige vers une nouvelle page, où vous devez saisir un code. Cette procédure est utilisée pour vérifier votre identité en ligne.

Préparez-vous à la DSP2 avec le protocole 3D Secure 2.0

L'expérience proposée par 3D Secure 1.0 n’est pas particulièrement agréable pour les visiteurs, surtout depuis un appareil mobile. Malgré la sécurité qu'il offre, ce processus est susceptible de baisser les conversions et de vous coûter, en tant que retailers, du chiffre d'affaires.

Pour faire face aux nouvelles exigences de la DSP2 et améliorer 3DS 1.0, EMVco, un organisme regroupant des représentants des principaux réseaux de cartes et des leaders de l’industrie du paiement, a créé le protocole 3D Secure 2.0 avec un nouvel objectif : proposer une authentification plus dynamique et plus sûre.

Avec 3DS 2.0, on oublie la redirection. Vos clients peuvent s’authentifier du bout des doigts ou en souriant à la caméra.

Comment la DSP2 définit les nouvelles normes d'authentification ? 

Le schéma ci-dessous représente une transaction SCA conforme à la DSP2. Le processus d'authentification forte doit permettre de récolter au minimum deux des informations suivantes :

  • Quelque chose que vous savez  ;
  • Quelque chose que vous possédez ;

L’authentification devient aussi facile que d’entrer un mot de passe envoyé par SMS. Au lieu de compter sur l'information traditionnelle « que vous connaissez » (le mot de passe que l'on finit par oublier), vos clients peuvent combiner quelque chose « qui leur appartient », comme leur montre connectée, avec « un aspect de leur identité », comme une empreinte digitale.

Dans le passé, les banques émettrices devaient souvent se limiter à demander aux utilisateurs un mot de passe unique et statique, qu'ils devaient retenir. Comme on l’imagine aisément, certains mots de passe finissaient aux oubliettes.

Les entreprises vont faire face à de nouveaux défis ; elles devront réinventer leurs processus d'authentification en adoptant progressivement des technologies biométriques. C'est un investissement nécessaire, qui renforcera le processus d'authentification de l'entreprise et se traduira par une hausse des conversions.

Les dates à retenir

Grâce à notre intégration de 3D Secure 2.0, les clients qui utilisent notre plateforme n’ont aucun souci à se faire : ils seront conformes dès le premier jour.

Si vous n’êtes pas un client Adyen, gardez à l’esprit les dates suivantes, que vous opériez en Europe ou en-dehors :

  • Avril 2019
  • Le 14 septembre 2019
  • 2020

Dérogations à la SCA

Même si la DSP2 vise à rendre obligatoire la SCA pour toutes les transactions en ligne, certaines dérogations sont prévues. Votre acquéreur sollicitera l’exemption la plus appropriée à chaque transaction.  Ces exceptions permettent aux consommateurs de continuer à profiter d'expériences d'achat en ligne agréables, tout en renforçant la sécurité pour leurs paiements plus importants et moins fréquents.

La difficulté avec les dérogations à la SCA, c'est qu’il est impossible de savoir si elles s’appliqueront jusqu’au moment où la transaction en ligne est réalisée. Chez Adyen, nous avons trouvé la parade : notre solution 3DS 2.0 permet de solliciter une exemption pour chaque transaction et de ne proposer une procédure SCA à l’acheteur que lorsque cela est nécessaire.

Voici les dérogations les plus pertinentes :

Les opérations à faible montant et à risque faible

Les transactions d'un montant inférieur à 30 EUR seront exemptées de SCA.

Toutefois, la banque émettrice gardera une trace du montant des paiements effectués. Si, sur une période de 24 heures, le total des montants versés sans authentification SCA depuis une même carte est supérieur à 100 euros, celle-ci sera requise. Il en va de même par tranche de 5 transactions journalières.

Les transactions à risque faible sont également exemptées de SCA. Le niveau de risque d’un paiement est évalué en fonction du taux moyen de fraudes chez l’émetteur de la carte et chez l’acquéreur qui traite la transaction.

Les abonnements et opérations récurrentes

Tant qu'ils sont d'un montant constant, les frais d'abonnements et les transactions récurrentes seront exemptés à partir de la deuxième opération. Seule l’opération initiale requiert une procédure SCA. Si le montant est modifié, l'authentification via 3D Secure sera demandée à chaque changement.

Cela pose un problème aux entreprises qui ont des rentrées d'argent fluctuantes et dont les montants varient au fil du temps : c'est le cas, par exemple, d’un abonnement dont le coût augmente au terme d'une période d'essai. Les organismes de réglementation ont donc confirmé que « les transactions initiées par le e-commerçant » ne sont pas du tout concernées par les exigences de la DSP2 en matière de SCA. Puisque la plupart des transactions récurrentes sont initiées par le commerçant et non par le titulaire de la carte, cela signifie que la plupart des versements d’abonnement ne seront pas concernés par la procédure SCA.

Les marchands sur liste blanche

Les clients peuvent ajouter des « bénéficiaires de confiance » à une liste blanche, qui sera conservée par leur banque. Les commerçants sur liste blanche ne sont pas concernés par l'authentification via 3D Secure. Ceci permet d'éviter aux clients qui achètent régulièrement dans une entreprise d'entrer des SCA supplémentaires.

Les transactions MOTO

Les commandes de type MOTO (Mail Orders and Telephone Orders), qui sont passées par courrier ou par téléphone, seront systématiquement exemptées d'authentification via 3D Secure. En effet, ces transactions ne sont pas considérées comme des paiements électroniques et ne rentrent donc pas dans le cadre de la règlementation qui nous intéresse.

Les transactions inter-régionales

Lorsque l’émetteur d'un paiement ou l’acquéreur de la carte ne sont pas basés en Europe, la transaction est également considérée comme exemptée. Après l'entrée en vigueur de la législation, il ne sera donc pas problématique d'accepter en Europe des paiements venant d'acheteurs hors Europe.

Bien qu’il n’y ait aucune exigence réglementaire, les émetteurs peuvent tout à fait traiter de la même façon les transactions internationales en Europe et en-dehors et les soumettre à l'authentification à des fins de gestion des risques.

Les paiements par carte d'affaires

Les paiements effectués par carte professionnelle ne sont pas concernés par la réglementation relative à la SCA ; le système 3D Secure ne sera donc pas nécessaire.

Le partage des données mène à un meilleur taux d'autorisation

Cette dernière application de 3D Secure ne se limite pas à la lutte contre la fraude ; en augmentant la quantité de données que l’émetteur peut recevoir, vous pouvez augmenter votre taux d’autorisation.

Plus les banques disposent d'informations sur les consommateurs, mieux elles peuvent superviser les transactions et les valider en toute connaissance de cause.

3D Secure 2.0 renferme près de 150 points de données répartis en trois catégories :

  1. Informations relatives à l'appareil
  2. Informations relatives à la transaction
  3. Informations relatives au client

Partager ces points de données avec la banque du client permet d'augmenter le nombre de transactions qui seront approuvées rapidement et sans peine.

Si vous êtes un client Adyen, vous pourrez accéder à ces données via notre API et les communiquer à la banque émettrice. Vous pourrez choisir précisément les données à partager – plus vous en révélerez à la banque émettrice, plus votre taux d’autorisation sera élevé.

Adyen et le système 3D Secure 2.0

Même si le processus SCA posera problème à certaines entreprises, notre nouvelle solution 3D Secure 2.0 a été conçue pour amortir le choc. Nous espérons qu'en comprenant comment la directive DSP2 définit l'authentification SCA et les dérogations associées, vous serez en mesure d'appréhender l'arrivée de la réglementation en toute sérénité avec l'assurance que nous sommes à vos côtés.

Si vous avez d’autres questions, n'hésitez pas à nous contacter.


Inscrivez-vous à la newsletter d'Adyen

J'accepte de recevoir des newsletters de la part d'Adyen à propos de la société, de son activité et du secteur, de ses partenaires et affiliés, de ses produits et services, de ses nouvelles fonctionnalités et des lancements à venir. En envoyant ce formulaire, vous reconnaissez avoir lu les conditions de notre Déclaration de confidentialité et vous consentez à l'utilisation des données dans le cadre de ces conditions.


Are you looking for test card numbers?

Would you like to contact support?