Chaque jour, des millions de Français valident un paiement en ligne, accèdent à leur espace bancaire ou y ajoutent un nouveau bénéficiaire sans difficulté. Derrière ces gestes du quotidien, un mécanisme fondamental est à l’œuvre, l’authentification, qui consiste à s’assurer que celui qui agit est bien celui qu’il prétend être. Tous les actes bancaires ne se valent pas. Consulter son solde n’appelle pas le même niveau de vigilance que valider un virement, relever son plafond de carte ou ajouter l’IBAN d’un nouveau bénéficiaire. C’est précisément ce que la réglementation européenne DSP2 (Directive sur les services de paiement 2) a formalisé sous le nom de Strong Customer Authentication, en imposant une vérification renforcée pour les opérations les plus sensibles, à l’heure où la fraude progresse et où les usages numériques s’accélèrent. Depuis son entrée en vigueur, cette directive a profondément restructuré les pratiques, en imposant la double authentification, modifiant les règles de responsabilité en cas de fraude et obligeant les banques à revoir en profondeur leurs parcours clients. Sa prochaine évolution, vers la DSP3, devrait consolider ces acquis sans bouleversement majeur.
L’authentification forte est toujours un équilibre à trouver entre sécurité et fluidité de l’expérience utilisateur. Les marchands et les schémas de paiement veulent des parcours sans couture, car chaque friction supplémentaire représente des transactions abandonnées et du chiffre d’affaires perdu. Les banques ont une responsabilité différente : chaque fois qu’un client valide une transaction, il fait confiance à sa banque pour protéger ses données et mettre en œuvre les mesures de vérification nécessaires. En cas de litige, c’est elle qui doit démontrer qu’elle a bien vérifié l’identité du porteur, qu’il avait conscience de ce qu’il faisait et qu’elle a tout mis en œuvre pour le protéger. C’est sur l’ensemble de ce parcours que Worldline accompagne les banques et institutions financières, en se positionnant comme un tiers de confiance, dont l’expertise réglementaire et le savoir-faire technologique permettent à ses clients de se mettre en conformité et de garantir la sécurité à leurs utilisateurs.
Sécurité et fluidité : les promesses renouvelées
de l’authentification
Deux grandes tendances sont en train de redessiner ce paysage. L’une vient de l’industrie du paiement elle-même, l’autre des États européens. La première, c’est la généralisation des passkeys (clé cryptographique conçue pour remplacer les mots de passe), portées par le standard FIDO qui repose sur des clés cryptographiques stockées directement sur l’appareil de l’utilisateur. Ces clés ne le quittent jamais, ne peuvent pas être volées et sont résistantes au phishing. Pour s’authentifier, un geste biométrique suffit, le même que pour déverrouiller son téléphone. Le résultat est significatif : 93 % de taux de succès et une validation trois fois plus rapide qu’avec les méthodes actuelles, selon la FIDO Alliance. C’est sur ce standard que les schémas de paiement internationaux ont bâti le Click to Pay, qui permet de valider un paiement e-commerce directement dans le navigateur, sans redirection vers l’application bancaire.
La seconde tendance est portée par les États européens eux-mêmes. D’ici la fin 2027, toutes les banques auront l’obligation d’accepter le wallet d’identité numérique européen, l’EUDIW, comme moyen d’authentification. Chaque pays fournira à ses citoyens une application officielle (en France, France Identité) utilisable d’un pays à l’autre. Si les banques françaises adoptent une posture prudente, en Allemagne, certaines envisagent d’utiliser le wallet bien au-delà de ce qu’impose la réglementation, jusqu’à en faire le support du moyen de paiement lui-même.
Ces deux tendances apportent une réponse structurelle aux limites des solutions actuelles. Les passkeys éliminent le risque de vol d’identifiants à la source. Le wallet européen va plus loin, en permettant à l’utilisateur de porter une identité numérique certifiée par l’État, réutilisable bien au-delà du seul paiement. L’objectif n’est plus seulement de sécuriser, mais d’authentifier sans couture et difficulté. Sur le plan de l’expérience utilisateur, les deux solutions ne se valent pas encore. Les passkeys permettent de s’authentifier directement dans le navigateur sans rupture dans le parcours, tandis que le wallet implique une redirection vers une application tierce, un aller-retour supplémentaire que les utilisateurs ne connaissent pas encore. L’usage du wallet pour les démarches civiques a déjà séduit de nombreux Français à l’occasion des élections municipales. Son adoption encore plus marquée dans des pays comme la Belgique, l’Italie ou la Suède montre que le chemin est déjà tracé. Ces évolutions doivent permettre de maintenir un écosystème de paiement sécurisé face à des menaces de fraude toujours plus sophistiquées, tout en répondant aux nouveaux usages de consommation pour soutenir le développement des paiements.
Du KYC au KYA : quand l’agent devient
le nouveau client
Cette question de la relation de confiance prend une dimension nouvelle avec l’émergence du commerce agentique. Pendant des décennies, l’authentification a reposé sur un principe immuable : vérifier l’identité de la personne qui agit, le Know Your Customer (KYC). Les acteurs du paiement comme Worldline ont enrichi ce principe avec le device intelligence : des sondes intégrées dans le code des applications collectent, avec l’accord de la banque et l’information de l’utilisateur, une centaine de signaux sur l’appareil utilisé lors de chaque transaction tels que la localisation, l’intégrité de l’appareil, la cohérence avec les transactions précédentes, etc. Ces informations viennent renforcer les solutions d’authentification existantes, avec l’objectif d’assurer que la banque a tout mis en œuvre pour protéger son client.
L’essor des agents IA introduit un changement de paradigme. La question n’est plus seulement qui est cette personne, mais qui agit pour elle, ce qu’on appelle le Know Your Agent (KYA). Le KYA vise à vérifier l’identité et la fiabilité de l’agent qui agit au nom de l’utilisateur, à s’assurer qu’il dispose d’un mandat explicite, que son comportement est stable dans le temps et qu’il est rattaché à un écosystème de confiance. Le commerce agentique se développe à une vitesse remarquable : les grands acteurs technologiques ont lancé des agents capables d’agir de manière autonome dans un parcours d’achat, et la part des visites e-commerce initiées par une intelligence artificielle explose.
Deux types de transactions se dessinent. La première prolonge ce que nous connaissons : l’utilisateur interagit avec une IA et finalise lui-même le paiement via un Click to Pay ou son application bancaire. Le second est inédit : il confie à un agent un mandat d’intention, comme « trouver deux places de concert à Paris, budget 300 euros », sur des sites de confiance, et l’agent exécute seul, sans que l’utilisateur soit présent. Ce n’est plus la personne qu’il faut authentifier, mais l’agent qui agit en son nom. Worldline travaille activement sur ces enjeux qui appellent une réponse coordonnée et stratégique de l’ensemble de l’écosystème : régulateurs, banques, schémas de paiement et prestataires technologiques. Le secteur s’oriente vers une standardisation progressive de ces mécanismes d’authentification, dans laquelle KYC et KYA ont vocation à converger. Ce basculement n’est pas qu’une évolution technique ; il redéfinit la nature même de la relation de confiance entre la banque et son client, à l’heure où cette relation ne se noue plus seulement avec une personne, mais avec les agents qui agissent en son nom. C’est précisément sur ce terrain que les banques ont tout intérêt à se positionner dès aujourd’hui.
