Actu

Authentification forte : la révolution du paiement en ligne repoussée à 2022

Les textes européens ont produit une révolution majeure en matière de commerce en ligne : l’authentification forte, ou Strong Customer Authentification (SCA). Initialement prévue le 14 septembre, l’entrée en vigueur a été repoussée à 2022 par les autorités bancaires européennes et françaises.

Authentification forte : la révolution du paiement en ligne repoussée à 2022
Les nouveaux critères d'authentification forte s'appliqueront en 2022 ©Adobe Stock

DSP2, 3D-Secure, SCA… derrière ces acronymes barbares se cache une refonte de l’authentification client lors d’un paiement sur internet. Premiers concernés : les sites de e-commerce et les petites entreprises qui doivent revoir leur parcours d’achat.

Authentification forte : la mesure repoussée à 2022

C’est le soulagement pour de nombreuses TPE-PME et autres e-commerçants. L’authentification forte devait en effet s’appliquer à compter du 14 septembre prochain. Mais dès l’été, l’autorité bancaire européenne avait validé le principe de repousser la date butoir dans un avis du 21 juin 2019 (« EBA publishes an Opinion on the elements of strong customer authentification under PSD2 »). Elle y précisait tenir compte de la complexité des changements requis, notamment pour les entités hors prestataires de paiement qui sont indirectement visées par l’authentification forte, à savoir les commerçants et petites entreprises.

Les modes d’authentification courants des clients sur les sites internet marchands vont donc rester d’actualité dans les années à venir.

Taux de conversion, parcours d’achat et chiffre d’affaires : les enjeux business de l’authentification forte

Enjeu business de l’authentification forte : le taux de conversion de simples visiteurs en acheteurs, et le chiffre d’affaires qui l’accompagne. En effet, sitôt l’authentification forte devenue obligatoire, le client  risque d’abandonner son authentification sur le site internet. Découragé, déstabilisé ou agacé par les multiples facteurs d’authentification, il renonce à son achat et la vente s’envole. La baisse du taux de conversion pourrait atteindre 10 à 15 % et le chiffre d’affaires risque bien d’en pâtir.

Le nœud stratégique du problème se trouve donc dans le parcours d’achat du site internet autour du paiement par carte. En 2022, une fois le dispositif applicable, il faudra mettre à jour la brique de paiement et certains « plug-in » pour que la plateforme de vente en ligne fonctionne selon les futures normes de l’authentification forte du client. Sinon, certaines transactions risqueront d’être refusées. A défaut d’effectuer ce lourd travail, les commerçants et TPE-PME peuvent aussi se tourner vers des prestataires qui conçoivent les infrastructures internet et se chargent de toutes les mises à jour nécessaires.

En parallèle, tout le flux de paiement peut être à revoir à la lumière de l’authentification forte. L’inquiétude concerne notamment l’accès aux serveurs des grands prestataires de cartes bancaires, comme Visa, ou Mastercard, dont le coût risque d’augmenter. Sites internet des commerçants en ligne et des petites entreprises risquent également de devoir fournir aux banques des données plus importantes sur leurs clients. Aujourd’hui, il ne s’agit que des numéros de la carte bancaire du client et de sa date de validité. Mais avec l’authentification forte, il pourrait s’agir aussi de l’adresse de livraison, du mail ou encore des coordonnées téléphoniques. De plus, chaque banque émettrice risque de demander des informations qui lui sont propres.

Authentification forte : les clés  pour comprendre la refonte du paiement online

L’exigence d’une authentification forte va de toute façon révolutionner le paiement sur internet. A l’origine de cette mutation se trouve la 2e directive européenne sur les services de paiements, la fameuse « DSP2 ». Le système actuel, qui utilise le processus 3D secure est connu de tous. Chacun a un jour reçu un SMS de sa banque lui envoyant un code secret à reproduire sur le site marchand. Ce mode d’authentification aujourd’hui largement répandu est désormais considéré comme obsolète. L’augmentation de la fraude aux paiements sur internet a fini par inquiéter les autorités européennes. La DSP2 est donc venue exiger des États de l’UE la mise en place d’un système plus sécurisé, notamment en cas de vol du smartphone.

La DSP2 requiert que tout paiement sur internet passe par une authentification forte à au moins 2 de ces 3 facteurs pour tout achat en ligne supérieur à 30 euros : connaissance, possession, inhérence.

Concrètement, chaque facteur se traduit par ces exigences :

  • connaissance: l’authentification doit demander au client une information connue de lui seul (code secret, mot de passe, réponse à une question personnelle…) ;
  • possession: l’authentification doit avoir lieu via un objet que le client possède (smartphone, montre connectée…) ;
  • inhérence: l’authentification doit utiliser des informations propres au client (empreinte digitale, reconnaissance faciale, biométrie…).

Marie-Aude Grimont

Laisser un commentaire

Suivant