Conseils e-commerce

E-commerce : l'essentiel sur la DSP2

Par Elodie Girardet le 06 juin 2019/ Temps de lecture : 7 minutes

Avez-vous entendu parler de “DSP2” lors des derniers événements e-commerce auxquels vous avez participé, ou bien lu quelques brèves à ce sujet ? La DSP2, pour Directive Européenne sur les Services de Paiement 2, est une directive européenne mise en application depuis le 13 janvier 2018 dont l’objectif est d’augmenter la sécurité des transactions en ligne.

Cette directive comprend plusieurs obligations en matière de paiement en ligne. L'une d'entre elles, la mise en place d’un nouveau standard de 3-D Secure (le 3-D Secure 2.0), doit être appliquée d'ici le 14 septembre 2019. En tant que solution de paiement, PayPlug est directement concernée par ce renforcement des contrôles d’authentification. Nous souhaitons donc revenir dans cet article sur les fondements de la DSP2 et sur ce que cela implique pour l'ensemble des e-commerçants. 

 

Qu’est-ce que la DSP2 ?

DSP2 e-commerce

Comme expliqué en introduction, l'un des objectifs de la DSP2 est de lutter contre la fraude en renforçant l’authentification du payeur, et ce de manière plus intelligente. Plus simplement : vérifier que la personne qui procède à un achat en ligne est sans aucun doute possible le propriétaire de la carte bancaire utilisée.

À noter : toutes les transactions ne sont pas concernées par la mise en place du 3-D Secure 2.0. Voici quelques exemples de types de paiements qui ne sont pas concernés par cette directive :

  • Les paiements inférieurs à 30€, dans la limite de 100€ par jour et 5 transactions consécutives. Ainsi, si votre panier moyen est de moins de 30€, il y a de grandes chances pour que la DPS2 ait peu de conséquences sur votre activité.
  • Les ventes par téléphone
  • Les paiements récurrents (abonnements)

Aujourd’hui, c’est le 3-D Secure (que l'on nommera 3-D Secure 1.0) qui permet d’authentifier le porteur de carte : votre acheteur renseigne en effet un code envoyé le plus souvent par SMS, afin de terminer sa commande. Vous l'avez d'ailleurs certainement vous-même déjà reçu lors d'un achat en ligne. Seul le porteur de carte peut obtenir ce code, donc une personne qui a subtilisé la carte ne pourra pas passer de commande en ligne. Voilà comment une fraude est évitée aujourd'hui !

En tant qu'e-commerçant, vous pouvez choisir de déclencher ou non le 3-D Secure grâce aux technologies actuelles : en l’appliquant soit à partir d’un montant, soit de manière intelligente via un outil tel que notre Smart 3-D Secure

Ce qui changera à partir du 14 septembre ? L'authentification du porteur de carte se fera via le 3-D Secure 2.0 qui permet la gestion de deux modes d’authentification différents. C'est de manière automatique que l'un ou l'autre sera sélectionné. Le mécanisme vous est expliqué un peu plus loin dans l'article.

  • L’authentification forte - pour votre client, elle équivaut au 3-D Secure 1.0... en mieux : elle offrira par exemple la possibilité pour l'acheteur de s'authentifier via empreinte digitale au moment de confirmer qu’il est bien le propriétaire de la carte bancaire utilisée. Aujourd'hui la seule option est en effet le renseignement d'un code, reçu par SMS ou récupéré via un boîtier. Ces deux éléments ne seront plus suffisants à partir du 14 septembre prochain.
  • L’authentification sans friction - l'authentification se fera de manière transparente pour votre client, grâce aux données échangées entre votre solution de paiement et la banque de votre client. Celui-ci n'a dans ce cas-là pas besoin de renseigner de code particulier afin de terminer sa commande. Aujourd'hui, seul un système de 3-D Secure intelligent permet de garantir la sécurité des transactions tout en maximisant votre conversion.

Nous vous proposons de découvrir un peu plus en détail ces deux modes d'authentifications.

L'authentification forte

Le but de l’authentification forte est de renforcer la sécurité des paiements, en se basant sur l’utilisation d’au moins 2 des 3 facteurs suivants :

  • Connaissance : “quelque chose que l’utilisateur connaît”, par exemple un mot de passe. 
  • Possession : “quelque chose que l’utilisateur possède”, comme un téléphone ou un ordinateur
  • Inhérence : “quelque chose que l’utilisateur est”, illustré par une empreinte digitale ou une reconnaissance faciale

C’est la banque de votre client qui va décider pour l’ensemble de ses porteurs de carte quels facteurs ils devront utiliser pour s’authentifier : certaines demanderont par exemple systématiquement une empreinte pour terminer un achat réalisé sur smartphone soumis à une authentification forte.

L’authentification sans friction

Elle signifie concrètement que votre client ne sera pas soumis au 3-D Secure 2.0. Cela est rendu possible par une meilleure communication entre les solutions de paiement et les banques de vos clients, notamment via l’échange automatique d’informations sur les transactions telles que l’adresse de livraison et de facturation. En effet, la DSP2 prévoit une liste d'informations obligatoires, renseignées par les solutions de paiement, qui sont nécessaires pour permettre une authentification sans friction.

La sélection automatique du mode d'authentification demandé

Qu'est-ce qui explique que l’un ou l’autre des types d’authentification sera utilisé ?  3 acteurs sont impliqués dans le processus de déclenchement : votre solution de paiement, l'acquéreur (la banque qui réalise les "demandes" de transactions pour vous) et la banque émettrice (la banque de votre acheteur). 

Lorsqu'un acheteur passera commande sur votre boutique à partir du 14 septembre, votre solution de paiement “demandera” l’authentification forte ou sans friction, en fonction du niveau de risque anticipé de la transaction (via le Smart 3-D Secure pour PayPlug par exemple), et en fin de parcours, c’est la banque de votre client qui acceptera (ou non) le type d’authentification suggéré. D'où l'importance pour votre solution de paiement d'entretenir une relation de proximité avec la banque émettrice. En effet, cela permet de maximiser les chances pour que les préférences de type d'authentification émises soient majoritairement acceptées. 

Graph DSP2 V2Schéma explicatif de la sélection du mode d'authentification

En fonction de la réponse de sa banque, votre client sera soumis à une authentification forte ou bien une authentification sans friction.

 

Quelles sont les obligations de votre solution de paiement ?

Définition DSP2

Votre solution a 4 obligations principales face à cette nouvelle directive :

  1. Mettre son module de paiement en conformité ;
  2. Proposer une solution pour que les transactions aient bien lieu si la banque de l'un de vos acheteurs n'est pas en conformité avec la DSP2 ;
  3. S’assurer que tous les types de transactions (récurrentes, fractionnées, en un clic) sont gérées en conformité avec la DSP2 ;
  4. Être en support pour toutes vos questions sur le sujet.

Nous vous invitons à vous rapprocher au plus tôt de votre solution de paiement pour vous assurer que ses services seront bien conformes à la date du 14 septembre. Pour tous les marchands qui utilisent PayPlug, rassurez-vous, ce sera bien le cas !


Quels sont les risques, si votre solution de paiement n’est pas conforme à la DSP2 d’ici le 14 septembre ?

Si votre solution de paiement n’est pas conforme à la DSP2 d’ici le 14 septembre, ce sont deux conséquences clés qu’il vous faut anticiper :

  • L’augmentation significative des transactions soumises à l’authentification forte : en effet, la banque émettrice, ne recevant pas les données qu'elle attend, peut choisir de demander une authentification forte pour s'assurer que le payeur est bien le porteur de carte. Ce type de situation peut se traduire par un allongement des étapes dans le tunnel d’achat de vos clients et donc une diminution de la conversion de vos ventes.
  • L’augmentation du nombre de transactions échouées : en effet, si votre solution de paiement n’a pas fait le nécessaire et “demande” un paiement de type 3-D Secure 1.0, la banque de votre client peut décider de refuser le paiement, en l'absence d'authentification suffisante (par les données, ou deux facteurs comme nous l’avons vu). 

Etant donnée la conséquence de ces deux risques sur votre chiffre d'affaires, nous vous conseillons de vous rapprocher au plus tôt d'une solution de paiement garantissant sa compatibilité avec la DSP2 pour maximiser vos ventes de fin d'année.


Quelles sont vos obligations, en tant qu’e-commerçant ?

Vos deux seules obligations consistent à :

  • Vous assurer que votre solution de paiement sera bien conforme à la Directive Européenne sur les Services de Paiement 2 d’ici le 14 septembre ;
  • Suivre leur recommandation pour que votre boutique dispose bien de toute mise à jour préparée par votre solution de paiement.

En fonction de votre solution de paiement, cela peut nécessiter de votre part l’ajout d’un module supplémentaire ou bien la mise à jour de votre module actuel.

Si vous utilisez notre solution de paiement, sachez que notre objectif est de faire en sorte qu'une simple mise à jour du module suffise. Pour ceux parmi nos marchands qui utilisent PrestaShop, notre module sera conforme à la DSP2 dans les semaines à venir et il suffira d'un clic pour le mettre à jour.

En attendant, nous tenons à vous accompagner dans cette transition : si vous avez des questions sur la DSP2, n’hésitez pas à nous contacter à support@payplug.com.  Nous publierons également dans quelques jours un article complet sur le sujet sur notre centre d'assistance.

Catégorie d'article : Conseils e-commerce

Ces articles pourraient aussi vous intéresser :

RGPD et TPE/PME : le bilan un an après
La question des remboursements : découvrez les bonnes pratiques en e-commerce
E-commerce : comment vendre efficacement sur le réseau social Instagram ?

A propos de l'auteur

Elodie Girardet

Elodie se charge de la rédaction des articles de blog concernant l'actualité de PayPlug et partage des conseils et astuces dédiés aux e-commerçants.

0 commentaire

New call-to-action