Authentification forte du client, qu’est-ce que la DSP2 ? Comment s’y conformer ?

Avertissement : Ce document ne fournit pas une analyse juridique approfondie et exhaustive de la réglementation européenne et nationale sur les services de paiement. A portée synthétique et opérationnelle, il s’adresse aux e-commerçants faisant appel à des prestataires de services de paiement dans le cadre de leurs activités professionnelles (B2C, B2B).

Pour prendre en compte les évolutions technologiques et nouveaux usages du e-commerce apparus depuis 2007 dans l’Union Européenne, les normes techniques de réglementation (Regulary Technical Standards – RTS) élaborées par l’Autorité bancaire européenne pour préciser les modalités de la seconde directive sur les services de paiement (DSP2) seront déployées à compter du 14 septembre prochain.

En vertu de cette nouvelle réglementation, les opérations d’achat devraient se soumettre à un processus d’authentification à deux facteurs (Strong Customer Authentication – SCA) mis en œuvre par les prestataires de service de paiement (PSP) auprès des entreprises, quelles que soient leur taille.

Les transactions initiées par le payeur (commande d’un client) devront être authentifiées par au moins deux des trois méthodes ci-dessous, et ce en toute indépendance les unes des autres :

• Connaissance – Quelque chose que seul le payeur connait, par exemple un mot de passe confidentiel ;
• Possession – Quelque chose qu’il utilise/possède, par exemple un téléphone ;
• Inhérence – Une caractéristique personnelle du payeur, par exemple une empreinte digitale.

À défaut et pour limiter leur responsabilité en cas de fraude et d’usurpation d’identité, les banques déclineront les paiements (virements, prélèvements à distance, achats en ligne…) qui ne respectent pas cette réglementation, faisant un peser un risque élevé de dégradation de la conversion.

Les régulateurs ont prévu des dérogations (non cumulatives, mais conditionnelles) au principe d’authentification forte sur la base :

• Du niveau de risque, lequel peut être évalué en fonction de facteurs de réduction des risques de fraude (par exemple, habitudes d’achat, adresse de livraison déjà connue, ou a contrario des comportements de paiement anormaux, signes d’infection par un logiciel malveillant…) ;
• Du montant car ce principe n’a pas besoin d’être mis en œuvre pour les transactions inférieures à 30 euros, si depuis la dernière authentification forte du client, le montant cumulé des précédente opération initiées ne dépasse 100 euros ou en nombre, cinq opérations.
• Du caractère récurrent de l’opération, c’est-à-dire lorsqu’il s’agit d’une opération récurrente pour un montant identique auprès d’un même bénéficiaire, si les prestataires de services de paiement ont appliqué l’authentification forte du client lorsqu’un payeur crée, modifie ou initie pour la première fois cette série d’opérations
• Du moyen utilisé pour exécuter l’opération de paiement, cette dérogation concernant des procédures ou de protocoles de paiement dédiés qui sont uniquement mis à la disposition de payeurs qui ne sont pas des consommateurs

C’est dans ce contexte qu’un nouveau protocole de sécurité 3-D Secure 2.0 (« 3DS2 ») permettant une double authentification a été développé pour permettre le respect de réglementation par les différents acteurs, tout en tendant à une meilleure prise en compte des impératifs de fluidité du parcours utilisateur pour limiter les abandons de panier.

Il peut donc être conseillé aux e-commerçants de se rapprocher de leur prestataire pour raccorder le protocole 3DS2 à leur canal de vente en ligne, en faisant appel aux services de leur développeur au besoin.

Pour illustration, STRIPE propose de nouvelles versions de Checkout et de l’API Payment Intents (plus d’informations ici) et BRAINTREE fournit également une documentation pour permettre aux développeur une migration vers 3DS2 (plus d’informations ici).

Il convient également de souligner que la bonne mise en œuvre de l’authentification forte par un marchand tend à dégager sa responsabilité en cas de paiement frauduleux par carte.

Enfin, forte de ces nouveaux impératifs réglementaire, la CNIL a mis à jour sa recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, à laquelle les e-commerçants peuvent se référer pour leur conformité au RGPD.

Sources :

• Articles L133-4, L133-44 et L133-19 du code monétaire et financier
• Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de l’intérêt pour l’EEE)
• Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
• Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication