Dès 2007, l’Union européenne légiférait pour encadrer les paiements en ligne, dans une logique de sécurisation des transactions et de renforcement de la confiance des consommateurs au sein d’un marché changeant. Depuis, ces régulations ont dû être renforcées pour s’adapter aux nouvelles tendances du e-commerce. Si elles sont nécessaires au bon fonctionnement des paiements, leur application peut toutefois présenter des difficultés pour les commerçants, qui tiennent à préserver leurs taux de conversion. Zoom sur la directive sur les services de paiement, dite DSP2, qui a profondément bouleversé le secteur.
DSP2 : que comporte la directive sur les services de paiement ?
La deuxième directive européenne sur les services de paiements, ou DSP2, a été adoptée en novembre 2015 par le Parlement européen. Ses mesures sont progressivement entrées en vigueur en 2018 et 2019. Son but est simple : harmoniser la réglementation qui entoure les paiements pour tous les pays membres de l’Union européenne.
Parmi les mesures mises en place, il y a notamment :
L’interdiction de la surfacturation en cas de paiement bancaire. Il s’agit des frais supplémentaires qui pouvaient jusqu’alors être prélevés lors d’un achat en magasin ou en ligne.
La légalisation du cashback.
L’établissement d’une distinction entre les agrégateurs de comptes bancaires (qui permettent au client de consulter l’ensemble de ses comptes depuis une seule application) et les initiateurs de paiements (qui permettent au client de payer en ligne sans passer par sa banque).
La mise en place de l’open banking, une pratique bancaire qui permet aux prestataires de services financiers d’avoir accès aux données bancaires des banques et des Fintechs par le biais d’API.
En cas de fraude avec une carte bancaire, le plafond du reste à payer pour le client est abaissé et passe de 150 € à 50 €.
La DSP2 s’inscrit dans le prolongement de la DSP1 de 2007, qui avait présidé à d’importantes évolutions telles que la norme SEPA (l’espace unique de paiement en euros), ou la création du statut de prestataire de services de paiements (PSP). Elle répond à une logique de renforcement des droits des consommateurs, et accroît la sécurité qui entoure les paiements en ligne. Mais le véritable clou de la DSP2, c’est « l’authentification forte » qui vient ajouter un niveau de sécurité supplémentaire lors des transactions.
DSP2 & authentification forte
DSP2 : qu’est-ce que l’authentification forte ?
Par le passé, il était possible de valider un paiement en entrant simplement son numéro de carte et son code CCV. Depuis la DSP2, l’authentification forte est venue remplacer ce processus. Il s’agit d’un système de double identification qui vise à renforcer la sécurité des transactions effectuées par les banques et néo-banques, en compliquant la tâche pour les pirates et les fraudeurs. Pour valider son paiement, le client doit désormais fournir deux des trois éléments suivants :
Un élément dont il a connaissance : un code, un pin, un mot de passe…
Un élément qui lui est inhérent : ce sont les éléments biométriques tels qu’une empreinte digitale, un scan du visage ou de l’iris, le son de la voix…
Un élément en sa possession : le plus souvent, il s’agit de son téléphone.
La plupart des banques ont opté pour un code à entrer dans leurs applications mobiles : l’utilisateur combine ainsi un élément en sa possession (le smartphone) et un élément de sa connaissance (le code), ou son empreinte biométrique.
Quand mettre en place l’authentification forte ?
La DSP2 prévoit de rendre l’authentification forte obligatoire pour toutes les transactions en ligne. Il y existe toutefois plusieurs exceptions qui visent à fluidifier l’expérience d’achat pour les clients.
Les montants faibles : dans la pratique, les transactions inférieures à 30 € ne requièrent pas d’authentification forte. Celle-ci ne sera déclenchée que si le montant dépensé dans la journée dépasse les 100 €, ou si cinq transactions sont réglées via une même carte.
Les abonnements et paiements récurrents : seule la transaction initiale déclenche une authentification forte. Les transactions suivantes en sont exemptes, dans la mesure où elles sont initiées par l’e-commerçant et pas par le client.
Certains marchands sur liste blanche ou certains types de transactions (régionales, par courrier, par téléphone, par carte d’affaires…).
Directive DSP2 : comment s’y conformer ?
Si l’authentification forte apporte sécurité et garantie aux clients, son déploiement reste complexe pour les commerçants, car elle est souvent source de frictions. Il n’est pas toujours évident de savoir comment l’utiliser sans générer des abandons de panier, et elle tend à nuire au taux de conversion. Il convient donc être accompagné pour limiter l’impact de l’authentification forte sur l’expérience client, tout en se conformant aux exigences de la DSP2.
A ce sujet, vous pouvez compter sur le 3D Secure 2, un système qui aide les entreprises à profiter des exemptions existantes lorsqu’elles sont disponibles, en ne faisant appel à l’authentification forte que lorsqu’elle est strictement nécessaire.
Respectez la DSP2 tout en préservant vos conversions avec Adyen
Afin de réduire les frictions au moment du paiement et de l’authentification, les e-commerçants peuvent déléguer l’authentification des paiements à la plateforme de technologie financière Adyen, qui combine les fonctions de passerelle de paiement, processeur de paiement et acquéreur monétique en une solution unique. Ainsi, les clients pourront s’authentifier sans quitter le processus de paiement, et l’authentification se fera en votre nom.
Cette offre répond à trois objectifs :
Optimiser le taux de réussite des transactions grâce à un processus d’authentification basé sur le machine learning. Celui-ci permet d’utiliser les dérogations lorsqu’elles sont possibles, mais aussi de déclencher le processus de vérification en cas de suspicion de fraude.
Faciliter l’authentification dans le monde entier et sur tous les appareils : Adyen s’adapte aux exigences et aux régulations de chaque marché pour des transactions fluides au niveau local comme à l’international, depuis tous les appareils d’un même client.
Gérer l’ensemble du flux de paiement : en choisissant un fournisseur d’authentification qui est également acquéreur, il devient possible d’analyser les données de paiements et de mesure l’impact de l’authentification sur les transactions.
De la DSP2… à la DSP3
Le 28 juin 2023, la Commission européenne a présenté des propositions visant à moderniser davantage les paiements et le secteur financier. Il est notamment question d’aller encore plus loin en matière d'authentification forte du client. Ces propositions ont vocation à modifier la DSP2, qui deviendra ainsi la DSP3, et devrait également aboutir à l’introduction d’un Règlement sur les services de paiement (PSR).
DSP2 ou DSP3, les technologies d’Adyen prennent en charge les tâches manuelles et l’authentification s’effectue en arrière-plan pour limiter les frictions au moment du paiement. Le parcours client s’en trouve simplifié, et le taux de conversion est maximisé tout en respectant les régulations européennes.
Inscrivez-vous à la newsletter d'Adyen
Recevez nos actualités par mail
Je confirme avoir bien pris connaissance de la Politique de Confidentialité d'Adyen et accepte que mes données soient utilisées conformément à celle-ci.