Tout savoir sur la directive DSP2 (authentification forte)

Qu’est-ce que la directive sur les services de paiement 2 (DSP2) ?

DSP2 : contexte et enjeux

La directive sur les services de paiement est une réglementation sur les paiements votée par l’Union européenne en 2015 et entrée en vigueur en France en depuis le 13 janvier 2018.

Son objectif est d’accroître la sécurité des paiements en ligne. Dans la lignée de la DSP1 de 2007, la DSP2 cherche à renforcer les droits des consommateurs et la protection de leurs données personnelles.

🤓 La DSP1 était à l’origine de grands changements comme le développement d’un espace unique de paiement en Europe (la norme SEPA avec les virements SEPA et les prélèvements SEPA) et la création du statut de prestataire de services de paiement (PSP).

Les 4 grands changements initiés par la DSP2

#1 L’amélioration de la sécurité des paiements en ligne grâce à l’authentification forte

C’est la mesure phare de la DSP2 : l’authentification forte. Les banques doivent mettre en place une identification à deux facteurs pour sécuriser les achats en ligne.

Elle remplace l’envoi du code par SMS, jugé désormais pas assez sécurisé.

👉 On vous explique son fonctionnement un peu plus bas !

💡 À noter : tous les paiements en ligne sont concernés, y compris ceux effectués avec votre compte pro : compte pro pour start-ups, compte pro pour PME, compte pro pour freelance, compte pro e-commerce…

#2 Le renforcement de la législation autour des agrégateurs de comptes et des initiateurs de paiement

La DSP2 distingue :

• Les agrégateurs de comptes bancaires : dans le jargon, on parle de prestataires de services d’information sur les comptes (PSIC). En clair, il s’agit de services permettant de consulter l’ensemble de vos comptes bancaires sur une seule et même application.

• Les initiateurs de paiement : il s’agit de prestataires de services d’initiation de paiement (PSIP). Ils permettent au client d’initier le paiement à partir d’un service en ligne sans passer par sa banque. Par exemple, vous pouvez faire un virement sans passer par votre compte pro en ligne en utilisant une application.

Dans les deux cas, la réglementation autour de ces nouveaux services est structurée et renforcée. Notamment, on relève la nécessité pour eux d’obtenir un agrément auprès de l’ACPR (autorité de contrôle prudentiel et de résolution).

#3 Le principe de l’open banking

L’open banking, c’est le partage des données entre les banques et les Fintechs (comme les néobanques). La DSP2 oblige désormais les banques à communiquer leurs données aux prestataires de services de paiement.

Pour se connecter, les services de paiement tiers devront aussi utiliser des API (Application Programming Interface) sécurisées pour récolter et faire transiter les données des clients.

#4 Les autres mesures de la DSP2

D’autres mesures viennent également renforcer les droits des consommateurs :

• L’abaissement du plafond de franchise restant à la charge du client à 50 € au lieu de 150 € en cas de fraude à la carte bancaire.

• La légalisation du système de cashback, c’est-à-dire la possibilité de retirer des espèces chez un commerçant en payant par carte bancaire.

L’authentification forte mise en place par la DSP2 : comment ça marche ?

Le fonctionnement de l’authentification forte

Depuis la DSP2, les établissements bancaires doivent donc proposer à leurs clients un système d’authentification forte.

L’authentification forte est un système d’identification rassemblant au moins 2 des 3 éléments ci-dessus :

• un élément que vous connaissez (connaissance) : un mot de passe ou un code ;

• un élément biométrique (inhérence) : une empreinte digitale ou faciale ou le son de votre voix ;

• un élément que vous possédez (possession) : un téléphone portable ou une ligne téléphonique.

Ce système de double authentification renforce la sécurité des banques en ligne, des néobanques et des banques traditionnelles. Il permet de lutter efficacement contre les attaques d’utilisateurs malveillants qui pourraient pirater vos données en leur compliquant la tâche.

Concrètement, la plupart des banques ont mis en place un code sécurisé sur leurs applications mobiles (selon les banques, il est appelé SécuriPass, Certicode Plus, Clé Digitale, Sécur’Pass…).

Les banques doivent proposer un autre dispositif pour les personnes ne possédant pas de smartphones. Il s’agit :

• D’un code envoyé par SMS et d’un code personnel fixe communiqué par la banque : l’utilisateur doit taper les deux codes lors de son achat en ligne.

• Plus rarement, certaines banques ont mis en place d’autres dispositifs physiques d’authentification comme des lecteurs de QR codes, des clés USB… Ils s’adressent principalement aux clients qui effectuent leurs achats depuis leur domicile.

Quand mettre en place l’authentification forte ?

✅ Le recours à l’authentification forte est requis pour :

• L’accès aux espaces clients en ligne lors de la première connexion, puis tous les 90 jours.

• Toutes les transactions en ligne de plus de 30 € (par carte ou par virement).

• Les opérations sensibles exécutées à distance.

❌ Cependant, il existe certains cas où vous n’êtes pas obligé de proposer l’authentification forte à vos clients :

• Des abonnements ou dépenses récurrentes (si le client a authentifié l’opération lors des premières dépenses).

• Des paiements auprès de certains sites validés par le client (concept de liste de bénéficiaires de confiance).

• Des achats sur des sites avec un faible taux de fraude.

• Des opérations de moins de 30 € ou de moins de 50 € pour les paiements sans contact.

Comment se mettre en conformité avec la DSP2 ?

Pour la mise en place de ces mesures, vous devez vous rapprocher au plus vite :

• de votre prestataire de paiement ;

• d’un développeur. 

La banque ou le prestataire de paiement vous fournira les informations nécessaires pour mettre en place l’authentification forte. Le développeur se chargera de l’intégrer sur votre site.

Vous devez vous assurer de proposer un système de paiement en ligne conforme pour éviter le refus des transactions par les banques. En effet, ces dernières peuvent refuser de traiter les transactions non conformes à la nouvelle directive.

Pour cela, vous devez vérifier que les paiements effectués sur votre site répondent bien à la nouvelle version du protocole de sécurité 3D Secure (le 3DS V2).

Comment bien intégrer l’authentification forte dans son écosystème ?

En tant que commerçant, vous le savez sans doute : l’étape du paiement est la plus délicate. Pour limiter les abandons de panier, il faut fluidifier au maximum l’expérience utilisateur et rendre le paiement simple pour le consommateur.

Mais l’authentification forte peut gêner le client et créer des frictions pour la finalisation de son achat. Il est donc crucial de bien l'adapter à votre site pour ne pas le décourager et lui simplifier la vie.

👉 En résumé, vous devez réfléchir à des stratégies de paiement équilibrant la conformité, l’expérience utilisateur et la sécurité pour vous comme pour vos clients.

C’est un enjeu capital aujourd’hui car en cas de fraude, les conséquences sont désastreuses pour le client mais aussi pour vous en tant que commerçant : charge financière, déficit de confiance du client, impact négatif sur l’image de marque…

📈 Pour vérifier si l’intégration de l’authentification forte fonctionne bien sur votre site, une bonne idée est de contrôler vos taux de conversion mais également la baisse de votre taux de fraude.

Simplifiez votre comptabilité

Centralisez et automatisez votre comptabilité grâce à votre compte professionnel Propulse

Ouvrir un compte