DSP2 Authentification Forte

La nouvelle Directive Européenne sur les Services de Paiement DSP2 exige une Authentification Forte du client pour renforcer la sécurité des transactions et la protection des données sensibles. L’un des cas d’authentification (les transactions de paiement électronique en ligne pour des montants supérieurs à 30 EUR et 150 EUR en cumulé), va naturellement concerner les entreprises proposant aujourd’hui le paiement mobile à leurs clients. Comment la nouvelle a t-elle été accueillie ?

Trois marchands ont partagé leurs positions sur la question, lors du dernier évènement de la Mobile Marketing Association à laquelle nous avons été conviés.

Qu’est ce que l’Authentification forte ?

L’Authentification Forte se définit comme une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories :

  1. CONNAISSANCE : quelque chose que seul l’utilisateur connait : Mot de passe, PIN …
  2. POSSESSION : quelque chose que seul l’utilisateur possède : Token, Mobile, Carte …
  3. INHÉRENCE : quelque chose que l’utilisateur est : empreinte digitale, reconnaissance faciale …

Indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

Les exigences de l’Authentification Forte du Client et les éventuelles exemptions, sont fixées par l’Autorité Bancaire Européenne (mandatée par la DSP2) dans le projet de norme technique réglementaire (Regulatory Technical Standard, RTS).

Les opérations ou transactions concernées

L’Authentification Forte du Client doit être systématiquement appliquée :

  • Lors de l’accès en ligne au solde d’un compte, à moins que l’Authentification Forte du Client ait eu lieu il y a moins de 90 jours
  • Lors de la modification de la liste des bénéficiaires de confiance, pour lesquels les cas d’exemption pourront s’appliquer par la suite
  • Lors de la mise en place d’une transaction récurrente (même bénéficiaire, même montant)
  • Pour effectuer un virement, sauf pour soi-même et dans le cadre d’un même ASPSP
  • Pour les transactions de paiement électronique en ligne, hormis pour des montants inférieurs à 30 EUR et 150 EUR en cumulé
  • Pour les transactions de paiement électronique sans contact, hormis pour des montants inférieurs à 50 EUR et 150 EUR en cumulé

Dates clés

  • 12 janvier 2016 : DSP2 entre en vigueur
  • 23 février 2017 : Le projet de norme technique réglementaire (RTS SCA) est publié
  • 13 janvier 2018 : Date limite pour la transposition par les Etats Membres
  • Vers novembre 2018 : 18 mois après sa publication, le RTS SCA devient obligatoire.

Que pensent les commerçants de l’Authentification Forte?

DSP2 Authentification Forte - Table ronde MMA

Photo prise avec un Iphone 6 Plus : De gauche à droite : Jérôme Bouteiller MMA, Maxime Adjerad Louvre Hotels Group, Michael Benisti Vestiaire Collective, Léo Leblanc Cheerz.

Au cours d’un débat organisé le 6 juillet 2017 par la Mobile Marketing Association sur le thème du paiement mobile, et animé par Jérôme Bouteiller directeur des contenus de la MMA, Maxime Adjerad, Michael Benisti et Léo Leblanc se sont exprimés sur les répercussions que pourrait avoir l’authentification forte sur leurs activités.

La DSP2 n’est pas forcément un frein. L’authentification forte, c’est déjà quelque chose qu’on a intégré en partie. Maxime Adjerad, Responsable SI Hôtels chez Louvre Hotels Group

Jérôme Bouteiller : Il y a beaucoup d’innovation en moyen de paiement mobile, on sent vraiment que du côté des marchands ça améliore de manière significative les taux de conversion. Mais il y a quand même un petit nuage à l’horizon qui est la directive DSP2 je crois qui arrive en 2019. Et si j’ai bien compris elle pourrait instaurer un niveau de sécurité tel qu’il pourrait compliquer le paiement en One-Touch voire l’utilisation des solutions de paiement utilisées déjà. Est ce une inquiétude chez vous ?

Maxime Adjerad : Une inquiétude oui et non, on s’interroge sur effectivement les impacts en terme d’UX, de taux de conversion. C’est vrai que techniquement on n’a pas de problème à respecter la réglementation parce qu’aujourd’hui nous on a des transpirations importantes sur la fraude et sur l’authentification forte, donc c’est déjà quelque chose qu’on a intégré en partie. Maintenant il faut qu’on aille plus loin au niveau de la directive pour voir.

JB : Mais est ce que les solutions chinoises par exemple que vous avez déployez à grande échelle sont compatibles avec cette future directive?

MA : C’est pas un très clair aujourd’hui, pour moi l’authentification forte on y répond par 3D Secure sur cette partie là. C’est des sujets qu’il faut donc creuser.

C’est la fin du paiement One Click. Ça crée une friction qui est démesurée par rapport au risque. Michael Benisti, Head of Payment & Revenue protection chez Vestiaire Collective

Jérôme Bouteiller : Michael la DSP2 elle vous inquiète chez Vestiaire Collective ?

Michael Benisti : J’ai une position assez forte sur le sujet. DSP2 (Payment Service Directive 2) c’est au niveau de l’union européenne, ils sont en train de sortir des final drafts de cette directive. Et pas mal de travail de lobbying, par la FEDAD notamment et par les fédérations d’e-commerce européennes, qui allaient à l’encontre du texte le plus compliqué sur cette PSD2 : toutes les transactions au delà de 30 euros auront besoin d’une authentification forte. Une authentification forte aujourd’hui il y a qu’une seule solution : le 3D Secure. Or le 3D Secure typiquement sur un mobile c’est pas forcément l’idéal, parce que je reçois un texto, si je suis sur le site mobile par exemple, je dois sortir de l’application.. Donc c’est vraiment pas pratique, pour nous c’est une perte de conversion qui est évidente. Du coup nous actuellement on a 2% 3% de 3D Secure, on gère la fraude autrement que par 3D Secure. Et avec un panier moyen à 400 euros on va passer à un 100% 3D Secure.

JB : Vous redoutez  en fait une baisse de votre activité, c’est que cette directive pensée pour sécuriser votre business, finalement le fragilise?

MB : C’est sûr que ça aura un impact sur les conversions qui est négatif. Ce que ça veut dire cette DSP2, c’est que c’est la fin du One-Click. Je ne pourrai plus payer en One-Click, j’aurai un 3D Secure, avant je serai redirigé sur le site de ma banque ou sur l’app de ma banque.

JB : Voire le Zero-click un peu à la Amazon Go… Ça peut aussi être de facto interdit au delà de 30€ ?

MB : Absolument. Il y a aussi d’autres aberrations, si par exemple vous avez un abonnement Deezer, en fait il y a la limite de 30€ et il y a la limite de 30€ cumulatif toutes les 5 transactions. Pour votre abonnement vous allez recevoir un message de Deezer « Veuillez authentifier votre transaction en allant sur Deezer » et qui va vous rediriger sur le site de votre banque qui va vous envoyer un SMS et etc.

JB : Donc tout ce qui a été fait pour simplifier l’expérience utilisateur, ça pourrait être de facto interdit?

MB : C’est remis en cause aujourd’hui. Il y eu beaucoup de travail de lobbying là dessus, il y a eu de petits changement à la limite, à la base c’était 10€ c’est monté à 30. Pour moi ça ne concerne pas trop avec des paniers à 400.

Je pense que le combat est pas terminé, il n’est pas ratifié mais les législateurs européens ont été super frileux et voilà. Ils ont considéré que la seule façon de protéger le consommateur c’est faire avec ce qu’ils appellent l’authentification forte, sauf que la seule façon de faire de l’authentification forte aujourd’hui c’est avec une solution qui crée de la friction de façon très significative, et qui est la 3D Secure. Or on sait bien que quelqu’un qui paie avec sa carte habituelle, qui est inscrit depuis 3 ans, qui se fait livrer à son adresse habituelle, il y a un risque tellement faible que… Ne créons pas de la friction sur une action comme ça, même si elle est à 5000€.

On a l’avantage d’avoir pour l’instant des paniers qui sont en dessous de 30 EUR, donc ça ne va pas nous concerner directement pour tous les utilisateurs. Léo Leblanc, Product Owner chez Cheerz

Jérôme Bouteiller : Léo, c’est une inquiétude ça, qu’au delà de 30€ on ne puisse utiliser des solutions One-Touch?

Léo Leblanc : Oui ça nous inquiète, c’est vrai que depuis que ces solutions de One Click sont arrivées on est content, parce que nous ça répond complètement à nos enjeux de simplification d’expérience etc. Là, oui ça nous inquiète et ça nous rend un peu triste. Après, on a l’avantage pour l’instant d’avoir des paniers qui sont en dessous de 30€, le panier moyen, donc ça ne va pas nous concerner directement pour tous les utilisateurs. Par contre c’est vrai que là on est dans une logique de diversification de la gamme de nos produits, on va sortir de plus en plus de produits avec des paniers moyens un peu plus élevés notamment des impression grands formats sur aluminium etc. qui peuvent dépasser 30€. Donc là effectivement pour certains utilisateurs ça va faire de la friction supplémentaire.

En résumé

Quelque soit le secteur d’activité où ils interviennent et en dépit de leur positions plus ou moins différentes, les 3 intervenants partagent à l’unanimité une préoccupation majeure : offrir une expérience utilisateur incomparable à leurs clients. Or celle-ci pourrait bien être compromise par l’authentification forte.

Assa

Assa

LET'S GO DIGITAL! Après 15 ans de vente et d'expérience client, je suis aujourd'hui étudiante MBA MCI à l'Institut Léonard de Vinci pour devenir une experte du Digital. Bienvenue sur mon Blog.

read more

LEAVE A REPLY