Publié le 15/10/2019 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
L’Autorité bancaire européenne (ABE) a publié en juin 2019 une opinion indiquant que les régulateurs nationaux pourraient reporter « de façon exceptionnelle » le délai de mise en œuvre de la directive DSP2.
À titre de mesure provisoire, les prestataires de services sont donc autorisés à continuer la procédure de paiement en ligne par carte bancaire sans authentification forte du client. Ce report de la mise en place de la DSP2 permet donc d’éviter toute perturbation dans les processus de paiement en ligne, et facilite ainsi l’application en douceur des nouvelles exigences imposées, dont l’objectif est renforcer la sécurité des paiements sans numéraire.
Pourtant, pour l’instant, les régulateurs belges n’ont pas accordé un délai et la Banque Nationale de Belgique (NNB) délivre les licences DSP2.
Pourquoi le délai n’est-il pas respecté?
Le 14 septembre, les règles modifiant les paiements sans numéraire sont entrées en vigueur, et sont donc applicables dans l’ensemble de l’UE, ainsi qu’au sein de l’EEE. La Directive garantie donc une meilleure protection des données personnelles des clients et renforce la sécurité de la transmission des données par Internet.
Seuls les services de paiements conformes à la DSP2 pourront être utilisés pour les achats sur Internet réalisés au moyen de cartes bancaires. L’ authentification à deux facteurs (ou Strong Customer Authentication, SCA) constitue l'un des volets essentiels de la nouvelle directive : ceux qui accepteront les paiements sans numéraire devront exiger une authentification à deux facteurs. Les clients ne pourront plus commander d'un simple clic ou au moyen d’un numéro de carte bancaire, mais devront confirmer leur achat avec deux éléments de sécurité.
Aux termes de la directive, les éléments de sécurité doivent associer deux des trois facteurs de sécurité suivants :
le facteur connaissance : c’est une information connue uniquement de l’utilisateur, tel qu’un mot de passe ou un code PIN
le facteur possession : c’est un élément matériel que l’utilisateur possède, tel qu’une carte bancaire ou de crédit, un téléphone portable ou un générateur de numéro de transaction (TAN), un système proposé par les banques qui permet aux clients de générer des codes de sécurité lorsqu’ils réalisent des opérations par homebanking.
le facteur d’inhérence : il s'agit des données biométriques découlant de caractéristiques personnelles immuables de l’utilisateur, telles que la voix, l’iris ou les empreintes digitales.
De ce fait, l'association traditionnelle d'un code PIN et d'un mot de passe n’est plus suffisante, ces deux éléments se rangeant dans la catégorie des « facteurs de connaissance ».
Les commerçants ne sont pas encore totalement préparés pour la DSP2
Les entreprises sont confrontées à une autre difficulté : alors que les banques et les prestataires tiers tels que les fintechs (notamment Linxo ou Lydia) sont bien préparés pour se conformer au délai prévu, certaines entreprises qui proposent des paiements en ligne ne pouvaient pas être prêtes à assurer un processus de paiement conforme à la DSP2 à compter du 14 septembre.
De ce fait, un grand nombre de transactions auraient pu être abandonnées, entraînant une perte de chiffre d'affaires pour les commerçants, et le mécontentement des clients. D'après une étude menée dans l’ensemble de l’UE sur la plateforme de paiement Stripe et 451 Research, le chiffre d'affaires enregistrera une baisse de 57 milliards d’euros au cours de la première année suivant l’application de la directive. Il est inutile de préciser que cela aura une incidence sur le secteur du commerce et un effet inverse aux objectifs que l’UE poursuivait en mettant en place cette nouvelle directive : une plus grande sécurité, une protection accrue contre la fraude, une plus forte innovation par les tiers enregistrés et, surtout, une expérience client améliorée, pratique et sans friction.
Au vu de la situation actuelle, le report de la mise en œuvre qui a été décidé concède davantage de souplesse aux commerçants. Des mesures comparables ont été adoptées par les autorités en charge de la mise en œuvre de la DSP2 dans d'autres pays européens. Ainsi, au Royaume-Uni, les commerçants disposent de 18 mois supplémentaires pour assurer la migration de leurs processus de paiement vers une solution conforme à la DSP2.
Trois étapes pour garantir un expérience client homogène conforme à la DSP2
Quel que soit le report du délai accordé, il est désormais temps que les commerçants passent à l’action. Mais comment utiliser le plus intelligemment possible le délai qu’il leur est concédé pour se préparer au mieux à la DSP2 ? Voici les trois mesures principales que les commerçants doivent adopter immédiatement :
1. Débuter (ou poursuivre) l’adoption de 3DSv2 et créer un plan de migration : il convient de choisir un prestataire pour les processus de paiement, en s'attachant notamment à la façon dont ce dernier garantira la meilleure expérience d’achat possible avec une authentification forte. Si l’entreprise et/ou le prestataire de service utilise déjà la technologie 3DS, il sera alors souhaitable de poursuivre sur la lancée, de passer à la nouvelle version 3DSv2, puis de définir un plan de migration. S’il s'appuie encore sur des standards tels que l’OTP, il y aura lieu de passer à 3DSv2, qui représente la meilleure technologie pour garantir une expérience client parfaite et se conformer à la nouvelle directive.
2. Prévoir des exceptions pour améliorer l’expérience client : certaines transactions mineures pourraient être exemptées de l’authentification à deux facteurs. À cet égard, le paiement des abonnements constitue un excellent exemple. Un commerçant pourra également figurer en tant que « commerçant de confiance » (liste blanche) auprès du fournisseur de crédit de l’entreprise. Les commerçants doivent capitaliser au maximum sur ces opportunités.
3. Se familiariser avec les opportunités proposées par la DSP2 : la nouvelle directive entend apporter des avantages à l’ensemble des acteurs impliqués. Parmi ces avantages : une plus grande sécurité, des coûts plus faibles, davantage de souplesse et d'innovation. Songez à la façon d’optimiser ces avantages et intégrez ces éléments dans votre plan de migration.
Les nouveaux délais accordés dans chaque pays pour la mise en place de la Directive DSP2 représentent une chance de faire évoluer le processus de sécurité de façon progressive en évitant tout risque économique. Toutefois, les commerçants ne doivent pas attendre et il est important pour eux de saisir les opportunités offertes par le report de la Directive pour aborder au mieux ce changement.
À titre de mesure provisoire, les prestataires de services sont donc autorisés à continuer la procédure de paiement en ligne par carte bancaire sans authentification forte du client. Ce report de la mise en place de la DSP2 permet donc d’éviter toute perturbation dans les processus de paiement en ligne, et facilite ainsi l’application en douceur des nouvelles exigences imposées, dont l’objectif est renforcer la sécurité des paiements sans numéraire.
Pourtant, pour l’instant, les régulateurs belges n’ont pas accordé un délai et la Banque Nationale de Belgique (NNB) délivre les licences DSP2.
Pourquoi le délai n’est-il pas respecté?
Le 14 septembre, les règles modifiant les paiements sans numéraire sont entrées en vigueur, et sont donc applicables dans l’ensemble de l’UE, ainsi qu’au sein de l’EEE. La Directive garantie donc une meilleure protection des données personnelles des clients et renforce la sécurité de la transmission des données par Internet.
Seuls les services de paiements conformes à la DSP2 pourront être utilisés pour les achats sur Internet réalisés au moyen de cartes bancaires. L’ authentification à deux facteurs (ou Strong Customer Authentication, SCA) constitue l'un des volets essentiels de la nouvelle directive : ceux qui accepteront les paiements sans numéraire devront exiger une authentification à deux facteurs. Les clients ne pourront plus commander d'un simple clic ou au moyen d’un numéro de carte bancaire, mais devront confirmer leur achat avec deux éléments de sécurité.
Aux termes de la directive, les éléments de sécurité doivent associer deux des trois facteurs de sécurité suivants :
le facteur connaissance : c’est une information connue uniquement de l’utilisateur, tel qu’un mot de passe ou un code PIN
le facteur possession : c’est un élément matériel que l’utilisateur possède, tel qu’une carte bancaire ou de crédit, un téléphone portable ou un générateur de numéro de transaction (TAN), un système proposé par les banques qui permet aux clients de générer des codes de sécurité lorsqu’ils réalisent des opérations par homebanking.
le facteur d’inhérence : il s'agit des données biométriques découlant de caractéristiques personnelles immuables de l’utilisateur, telles que la voix, l’iris ou les empreintes digitales.
De ce fait, l'association traditionnelle d'un code PIN et d'un mot de passe n’est plus suffisante, ces deux éléments se rangeant dans la catégorie des « facteurs de connaissance ».
Les commerçants ne sont pas encore totalement préparés pour la DSP2
Les entreprises sont confrontées à une autre difficulté : alors que les banques et les prestataires tiers tels que les fintechs (notamment Linxo ou Lydia) sont bien préparés pour se conformer au délai prévu, certaines entreprises qui proposent des paiements en ligne ne pouvaient pas être prêtes à assurer un processus de paiement conforme à la DSP2 à compter du 14 septembre.
De ce fait, un grand nombre de transactions auraient pu être abandonnées, entraînant une perte de chiffre d'affaires pour les commerçants, et le mécontentement des clients. D'après une étude menée dans l’ensemble de l’UE sur la plateforme de paiement Stripe et 451 Research, le chiffre d'affaires enregistrera une baisse de 57 milliards d’euros au cours de la première année suivant l’application de la directive. Il est inutile de préciser que cela aura une incidence sur le secteur du commerce et un effet inverse aux objectifs que l’UE poursuivait en mettant en place cette nouvelle directive : une plus grande sécurité, une protection accrue contre la fraude, une plus forte innovation par les tiers enregistrés et, surtout, une expérience client améliorée, pratique et sans friction.
Au vu de la situation actuelle, le report de la mise en œuvre qui a été décidé concède davantage de souplesse aux commerçants. Des mesures comparables ont été adoptées par les autorités en charge de la mise en œuvre de la DSP2 dans d'autres pays européens. Ainsi, au Royaume-Uni, les commerçants disposent de 18 mois supplémentaires pour assurer la migration de leurs processus de paiement vers une solution conforme à la DSP2.
Trois étapes pour garantir un expérience client homogène conforme à la DSP2
Quel que soit le report du délai accordé, il est désormais temps que les commerçants passent à l’action. Mais comment utiliser le plus intelligemment possible le délai qu’il leur est concédé pour se préparer au mieux à la DSP2 ? Voici les trois mesures principales que les commerçants doivent adopter immédiatement :
1. Débuter (ou poursuivre) l’adoption de 3DSv2 et créer un plan de migration : il convient de choisir un prestataire pour les processus de paiement, en s'attachant notamment à la façon dont ce dernier garantira la meilleure expérience d’achat possible avec une authentification forte. Si l’entreprise et/ou le prestataire de service utilise déjà la technologie 3DS, il sera alors souhaitable de poursuivre sur la lancée, de passer à la nouvelle version 3DSv2, puis de définir un plan de migration. S’il s'appuie encore sur des standards tels que l’OTP, il y aura lieu de passer à 3DSv2, qui représente la meilleure technologie pour garantir une expérience client parfaite et se conformer à la nouvelle directive.
2. Prévoir des exceptions pour améliorer l’expérience client : certaines transactions mineures pourraient être exemptées de l’authentification à deux facteurs. À cet égard, le paiement des abonnements constitue un excellent exemple. Un commerçant pourra également figurer en tant que « commerçant de confiance » (liste blanche) auprès du fournisseur de crédit de l’entreprise. Les commerçants doivent capitaliser au maximum sur ces opportunités.
3. Se familiariser avec les opportunités proposées par la DSP2 : la nouvelle directive entend apporter des avantages à l’ensemble des acteurs impliqués. Parmi ces avantages : une plus grande sécurité, des coûts plus faibles, davantage de souplesse et d'innovation. Songez à la façon d’optimiser ces avantages et intégrez ces éléments dans votre plan de migration.
Les nouveaux délais accordés dans chaque pays pour la mise en place de la Directive DSP2 représentent une chance de faire évoluer le processus de sécurité de façon progressive en évitant tout risque économique. Toutefois, les commerçants ne doivent pas attendre et il est important pour eux de saisir les opportunités offertes par le report de la Directive pour aborder au mieux ce changement.