Comment les acteurs du commerce électronique considèrent-ils les prochaines obligations liées à l’entrée en vigueur des normes techniques réglementaires (RTS) ?
Sur les 200 000 sites marchands en France, les quatre cinquièmes sont de petits sites qui n’ont pas d’expertise monétique particulière, qui fonctionnent avec un prestataire de services, ou directement avec leur banque. Ceux-là ne devraient pas voir une grande différence. Quasiment tous leurs paiements seront authentifiés, mais c’est déjà le cas aujourd’hui. En revanche, le cinquième des marchands restants, composé plutôt de gros acteurs, a affiné ses tunnels de paiement, développé des parcours clients complexes, investi dans la lutte antifraude, renforcé les moyens mis en œuvre et les équipes, et mis en place des outils technologiques innovants. Ces marchands-là vont se trouver perturbés par l’entrée en vigueur des RTS.
Les marchands avaient jusqu’à présent la maîtrise de l’authentification forte. Ils la déclenchaient en fonction d’une analyse de risques qu’ils faisaient eux-mêmes. Ils en portaient les risques et les coûts en cas de fraude. Désormais, c’est la banque du client, émettrice, qui va décider de l’authentification à faire. C’est un gros bouleversement, le plus important lié à la DSP 2, à mon sens.
Le régulateur européen, l’Autorité bancaire européenne (ABE), ne s’est pas montré très réactif sur l’interprétation qu’il fallait faire de tel ou tel aspect des RTS ou de la DSP 2. Le régulateur national, la Banque de France, essaie, lui aussi, de comprendre les intentions de l’ABE. Il y a eu une période de flottement, qui s’éclaircit aujourd’hui grâce aux échanges que nous organisons.
Un groupe de travail, le Conseil consultatif commerce CB (CCC CB), composé notamment de représentants de la Fevad, de Mercatel, de la Fédération du commerce et de la distribution (FCD), a ainsi mené une importante réflexion sur les conséquences de la DSP 2 et des RTS sur les parcours clients. Un Livre blanc en est sorti en juillet
La transition se joue en réalité à différents niveaux. Il y a les évolutions de la réglementation, la DSP 2 et la mise en place des RTS. Mais certaines règles de gestion imposées par les réseaux Mastercard et Visa à leurs clients – c’est-à-dire aux banques émettrices –, évoluent en même temps, notamment le protocole sécurisé de paiement sur Internet 3D
Que va entraîner ce changement de normes ?
Le 3DS 1.0 était très pauvre en données véhiculées. Il ne s’agissait que des éléments essentiels de la transaction : le montant, le client, le marchand. Désormais, le 3DS 2.0 véhicule beaucoup d’informations. Le commerçant a la possibilité de demander s’il veut l’authentification forte, s’il ne la veut pas ou si cela lui est égal.
Le 3DS 2.0 devrait permettre de fluidifier le parcours client en utilisant les exemptions prévues par les RTS. Le marchand connaît très bien son client et peut repérer des comportements anormaux liés à son panier. La banque émettrice voit ce qui se passe sur la carte de son client et peut détecter des comportements inhabituels. Les réseaux, enfin, s’ils ne connaissent pas le client ni ses habitudes de consommation, peuvent repérer si une même carte est utilisée sur plusieurs sites en même temps. Ils ont une vision riche de l’usage qui est fait d’un numéro de carte de paiement. C’est l’alliance de ces trois scorings de fraude qui offre la meilleure efficacité dans la lutte contre la fraude.
Mais tout ceci reste théorique : il faudra faire le point dans les mois à venir ! La mise en place du 3DS 2.0 est compliquée. Toute la chaîne de paiement est concernée. Il faut que la banque acquéreur (ou le PAT) soit en capacité de transmettre les informations nouvelles fournies par le marchand, au réseau puis à la banque émettrice. Il faut que le marchand modifie son système d’information pour pouvoir transmettre des données nouvelles liées au contexte de la transaction : l’identification de l’appareil utilisé, l’adresse IP où l’achat a été effectué, l’adresse de livraison qui peut être conforme ou non, etc.
Enfin, ces changements amènent des questions vis-à-vis du Règlement général sur la protection des données (RGPD), pour chacun des maillons de cette chaîne.
Quelle tournure prend la fin du SMS
L’abandon du SMS OTP est un chantier périphérique à celui de l’entrée en vigueur des RTS et de la DSP 2. En France et en Europe, le 3DS avec le SMS OTP constitue l’authentification forte la plus répandue. L’ABE a estimé que ce moyen ne respectait pas ses critères d’authentification forte, qui doivent relever de deux catégories parmi : la connaissance, la possession, l’inhérence. Les outils vont devoir évoluer. Un groupe de travail avec la banque de France réfléchit à la migration des moyens d’authentification. Mais le SMS OTP ne sera pas abandonné le 14 septembre, du jour au lendemain. Il reste le moyen utilisé, d’après les chiffres CB, dans 86 % des authentifications fortes.
Les cas d’exemption à l’authentification forte permettront-ils de simplifier le parcours du client ?
Le régulateur a prévu des cas d’exemption pour les paiements par carte à distance : opérations de faible valeur (moins de 30 euros), paiements récurrents ou fractionnés, commerçants désignés par le client comme « tiers de confiance », par exemple. Mais toutes ne seront pas exploitables.
La DSP 2 prévoit par exemple la possibilité pour le consommateur de désigner ses commerçants habituels comme bénéficiaires de confiance. Mais il n’y a aucune obligation pour les banques ! Elles ne se bousculent pas pour proposer cette fonctionnalité à leurs clients…
L’ABE a créé une page de questions-réponses (Q&A), afin de répondre aux centaines de questions posées par des fédérations, marchands ou groupements en France et en Europe, au sujet de l’interprétation de la DSP 2. Début mars, elle a précisé le cas du « paiement à l’initiative du commerçant ». Elle a reconnu que dans le cas d’un paiement fractionné et dans un certain nombre de cas d’usage – tourisme, mini-bar d’hôtel débité après le départ du client, plein de carburant fait par le loueur après le retour de la voiture, etc. –, les paiements à l’initiative du marchand ne seraient pas soumis à authentification forte.
Êtes-vous satisfaits des possibilités ouvertes par la DSP 2, en matière d’innovation ?
Nous sommes encore un peu frustrés par la manière dont l’API de Place est développée avec la STET pour les banques, afin de rendre accessibles les données bancaires à des tiers : en recourant au principe de redirection vers les services de banque en ligne pour l’authentification forte, elle ne favorise pas une grande fluidité dans le paiement.
Les offres autour de nouveaux instruments de paiement tel que l’instant payment sont encore insuffisamment développées. C’est pourtant selon nous une piste d’avenir à exploiter dans certains parcours clients et dans certains cas d’usage.
Si l’instant payment doit être payant, pourquoi pas, dès lors que l’offre est étoffée et permet des fonctionnalités avancées pour le marchand comme pour l’utilisateur ? C’est également un instrument de souveraineté européenne indéniable en matière de paiement face aux grands schemes mondiaux.
