Ramesh Ramani et Laurent Degabriel
L’Autorité bancaire européenne (ABE) a publié en juin 2019 une opinion indiquant que les régulateurs nationaux pourraient reporter « de façon exceptionnelle » le délai de mise en œuvre de la directive DSP2. Profitant de cette opportunité, la France a donc accordé trois ans de délai supplémentaire par rapport au projet initial pour que les différentes parties prenantes puissent mettre en place cette sécurité renforcée.
À titre de mesure provisoire, les prestataires de services sont donc autorisés à continuer la procédure de paiement en ligne par carte bancaire sans authentification forte du client. Ce report de la mise en place de la DSP2 permet donc d’éviter toute perturbation dans les processus de paiement en ligne, et facilite ainsi l’application en douceur des nouvelles exigences imposées, dont l’objectif est renforcer la sécurité des paiements sans numéraire.
Pourquoi le délai n’est-il pas respecté ?
Le 14 septembre, les règles modifiant les paiements sans numéraire sont entrées en vigueur, et sont donc applicables dans l’ensemble de l’UE, ainsi qu’au sein de l’EEE. La Directive garantie donc une meilleure protection des données personnelles des clients et renforce la sécurité de la transmission des données par Internet.
Seuls les services de paiements conformes à la DSP2 pourront être utilisés pour les achats sur Internet réalisés au moyen de cartes bancaires. L’authentification forte du client (ou Strong Customer Authentication, SCA) constitue l'un des volets essentiels de la nouvelle directive : ceux qui accepteront les paiements sans numéraire devront exiger une authentification à deux facteurs. Les clients ne pourront plus commander d'un simple clic ou au moyen d’un numéro de carte bancaire, mais devront confirmer leur achat avec deux éléments de sécurité.
Aux termes de la directive, les éléments de sécurité doivent associer deux des trois facteurs de sécurité suivants :
1. le facteur connaissance : c’est une information connue uniquement de l’utilisateur, tel qu’un mot de passe ou un code PIN
2. le facteur possession : c’est un élément matériel que l’utilisateur possède, tel qu’une carte bancaire ou de crédit, un téléphone portable ou un générateur de numéro de transaction (TAN), un système proposé par les banques qui permet aux clients de générer des codes de sécurité lorsqu’ils réalisent des opérations par homebanking.
3. le facteur d’inhérence : il s'agit des données biométriques découlant de caractéristiques personnelles immuables de l’utilisateur, telles que la voix, l’iris ou les empreintes digitales.
De ce fait, l'association traditionnelle d'un code PIN et d'un mot de passe n’est plus suffisante, ces deux éléments se rangeant dans la catégorie des « facteurs de connaissance ».
Les commerçants ne sont pas encore totalement préparés pour la DSP2
Les entreprises sont confrontées à une autre difficulté : alors que les banques et les prestataires tiers tels que les fintechs (notamment Linxo ou Lydia) sont bien préparés pour se conformer au délai prévu, certaines entreprises qui proposent des paiements en ligne ne pouvaient pas être prêtes à assurer un processus de paiement conforme à la DSP2 à compter du 14 septembre.
De ce fait, un grand nombre de transactions auraient pu être abandonnées, entraînant une perte de chiffre d'affaires pour les commerçants, et le mécontentement des clients. D'après une étude menée dans l’ensemble de l’UE sur la plateforme de paiement Stripe et 451 Research, le chiffre d'affaires enregistrera une baisse de 57 milliards d’euros au cours de la première année suivant l’application de la directive. Il est inutile de préciser que cela aura une incidence sur le secteur du commerce et un effet inverse aux objectifs que l’UE poursuivait en mettant en place cette nouvelle directive : une plus grande sécurité, une protection accrue contre la fraude, une plus forte innovation par les tiers enregistrés et, surtout, une expérience client améliorée, pratique et sans friction.
Au vu de la situation actuelle, le report de la mise en œuvre qui a été décidé concède davantage de souplesse aux commerçants. Des mesures comparables ont été adoptées par les autorités en charge de la mise en œuvre de la DSP2 dans d'autres pays européens. Ainsi, au Royaume-Uni, les commerçants disposent de 18 mois supplémentaires pour assurer la migration de leurs processus de paiement vers une solution conforme à la DSP2.
Trois étapes pour garantir un expérience client homogène conforme à la DSP2
Quel que soit le report du délai accordé, il est désormais temps que les commerçants passent à l’action. Mais comment utiliser le plus intelligemment possible le délai qu’il leur est concédé pour se préparer au mieux à la DSP2 ?
Voici les trois mesures principales que les commerçants doivent adopter immédiatement :
1. Débuter (ou poursuivre) l’adoption de 3DSv2 et créer un plan de migration : il convient de choisir un prestataire pour les processus de paiement, en s'attachant notamment à la façon dont ce dernier garantira la meilleure expérience d’achat possible avec une authentification forte. Si l’entreprise et/ou le prestataire de service utilise déjà la technologie 3DS, il sera alors souhaitable de poursuivre sur la lancée, de passer à la nouvelle version 3DSv2, puis de définir un plan de migration. S’il s'appuie encore sur des standards tels que l’OTP, il y aura lieu de passer à 3DSv2, qui représente la meilleure technologie pour garantir une expérience client parfaite et se conformer à la nouvelle directive.
2. Prévoir des exceptions pour améliorer l’expérience client : certaines transactions mineures pourraient être exemptées de l’authentification à deux facteurs. À cet égard, le paiement des abonnements constitue un excellent exemple. Un commerçant pourra également figurer en tant que « commerçant de confiance » (liste blanche) auprès du fournisseur de crédit de l’entreprise. Les commerçants doivent capitaliser au maximum sur ces opportunités.
3. Se familiariser avec les opportunités proposées par la DSP2 : la nouvelle directive entend apporter des avantages à l’ensemble des acteurs impliqués. Parmi ces avantages : une plus grande sécurité, des coûts plus faibles, davantage de souplesse et d'innovation. Songez à la façon d’optimiser ces avantages et intégrez ces éléments dans votre plan de migration.
Les nouveaux délais accordés dans chaque pays pour la mise en place de la Directive DSP2 représentent une chance de faire évoluer le processus de sécurité de façon progressive en évitant tout risque économique. Toutefois, les commerçants ne doivent pas attendre et il est important pour eux de saisir les opportunités offertes par le report de la Directive pour aborder au mieux ce changement.
À titre de mesure provisoire, les prestataires de services sont donc autorisés à continuer la procédure de paiement en ligne par carte bancaire sans authentification forte du client. Ce report de la mise en place de la DSP2 permet donc d’éviter toute perturbation dans les processus de paiement en ligne, et facilite ainsi l’application en douceur des nouvelles exigences imposées, dont l’objectif est renforcer la sécurité des paiements sans numéraire.
Pourquoi le délai n’est-il pas respecté ?
Le 14 septembre, les règles modifiant les paiements sans numéraire sont entrées en vigueur, et sont donc applicables dans l’ensemble de l’UE, ainsi qu’au sein de l’EEE. La Directive garantie donc une meilleure protection des données personnelles des clients et renforce la sécurité de la transmission des données par Internet.
Seuls les services de paiements conformes à la DSP2 pourront être utilisés pour les achats sur Internet réalisés au moyen de cartes bancaires. L’authentification forte du client (ou Strong Customer Authentication, SCA) constitue l'un des volets essentiels de la nouvelle directive : ceux qui accepteront les paiements sans numéraire devront exiger une authentification à deux facteurs. Les clients ne pourront plus commander d'un simple clic ou au moyen d’un numéro de carte bancaire, mais devront confirmer leur achat avec deux éléments de sécurité.
Aux termes de la directive, les éléments de sécurité doivent associer deux des trois facteurs de sécurité suivants :
1. le facteur connaissance : c’est une information connue uniquement de l’utilisateur, tel qu’un mot de passe ou un code PIN
2. le facteur possession : c’est un élément matériel que l’utilisateur possède, tel qu’une carte bancaire ou de crédit, un téléphone portable ou un générateur de numéro de transaction (TAN), un système proposé par les banques qui permet aux clients de générer des codes de sécurité lorsqu’ils réalisent des opérations par homebanking.
3. le facteur d’inhérence : il s'agit des données biométriques découlant de caractéristiques personnelles immuables de l’utilisateur, telles que la voix, l’iris ou les empreintes digitales.
De ce fait, l'association traditionnelle d'un code PIN et d'un mot de passe n’est plus suffisante, ces deux éléments se rangeant dans la catégorie des « facteurs de connaissance ».
Les commerçants ne sont pas encore totalement préparés pour la DSP2
Les entreprises sont confrontées à une autre difficulté : alors que les banques et les prestataires tiers tels que les fintechs (notamment Linxo ou Lydia) sont bien préparés pour se conformer au délai prévu, certaines entreprises qui proposent des paiements en ligne ne pouvaient pas être prêtes à assurer un processus de paiement conforme à la DSP2 à compter du 14 septembre.
De ce fait, un grand nombre de transactions auraient pu être abandonnées, entraînant une perte de chiffre d'affaires pour les commerçants, et le mécontentement des clients. D'après une étude menée dans l’ensemble de l’UE sur la plateforme de paiement Stripe et 451 Research, le chiffre d'affaires enregistrera une baisse de 57 milliards d’euros au cours de la première année suivant l’application de la directive. Il est inutile de préciser que cela aura une incidence sur le secteur du commerce et un effet inverse aux objectifs que l’UE poursuivait en mettant en place cette nouvelle directive : une plus grande sécurité, une protection accrue contre la fraude, une plus forte innovation par les tiers enregistrés et, surtout, une expérience client améliorée, pratique et sans friction.
Au vu de la situation actuelle, le report de la mise en œuvre qui a été décidé concède davantage de souplesse aux commerçants. Des mesures comparables ont été adoptées par les autorités en charge de la mise en œuvre de la DSP2 dans d'autres pays européens. Ainsi, au Royaume-Uni, les commerçants disposent de 18 mois supplémentaires pour assurer la migration de leurs processus de paiement vers une solution conforme à la DSP2.
Trois étapes pour garantir un expérience client homogène conforme à la DSP2
Quel que soit le report du délai accordé, il est désormais temps que les commerçants passent à l’action. Mais comment utiliser le plus intelligemment possible le délai qu’il leur est concédé pour se préparer au mieux à la DSP2 ?
Voici les trois mesures principales que les commerçants doivent adopter immédiatement :
1. Débuter (ou poursuivre) l’adoption de 3DSv2 et créer un plan de migration : il convient de choisir un prestataire pour les processus de paiement, en s'attachant notamment à la façon dont ce dernier garantira la meilleure expérience d’achat possible avec une authentification forte. Si l’entreprise et/ou le prestataire de service utilise déjà la technologie 3DS, il sera alors souhaitable de poursuivre sur la lancée, de passer à la nouvelle version 3DSv2, puis de définir un plan de migration. S’il s'appuie encore sur des standards tels que l’OTP, il y aura lieu de passer à 3DSv2, qui représente la meilleure technologie pour garantir une expérience client parfaite et se conformer à la nouvelle directive.
2. Prévoir des exceptions pour améliorer l’expérience client : certaines transactions mineures pourraient être exemptées de l’authentification à deux facteurs. À cet égard, le paiement des abonnements constitue un excellent exemple. Un commerçant pourra également figurer en tant que « commerçant de confiance » (liste blanche) auprès du fournisseur de crédit de l’entreprise. Les commerçants doivent capitaliser au maximum sur ces opportunités.
3. Se familiariser avec les opportunités proposées par la DSP2 : la nouvelle directive entend apporter des avantages à l’ensemble des acteurs impliqués. Parmi ces avantages : une plus grande sécurité, des coûts plus faibles, davantage de souplesse et d'innovation. Songez à la façon d’optimiser ces avantages et intégrez ces éléments dans votre plan de migration.
Les nouveaux délais accordés dans chaque pays pour la mise en place de la Directive DSP2 représentent une chance de faire évoluer le processus de sécurité de façon progressive en évitant tout risque économique. Toutefois, les commerçants ne doivent pas attendre et il est important pour eux de saisir les opportunités offertes par le report de la Directive pour aborder au mieux ce changement.
Finyear & Chaineum
Lisez gratuitement le quotidien Finyear & sa newsletter quotidienne.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en finance digitale, corporate finance & crypto finance.
Read for free The daily newspaper Finyear & its daily newsletter.
Receive the Finyear's newsletter every morning by email, a daily snapshot of the best news and expertise in digital finance, corporate finance & crypto finance.
------------------------
Chaineum :
Fondée en 2015, Chaineum est un cabinet de conseil en opérations de haut de bilan offrant une expertise de premier plan en matière d’ICO et STO, avec une vision stratégique orientée tant vers le métier de ses clients que sur la technologie blockchain. A ce titre, Chaineum a participé à la mise en œuvre de bonnes pratiques dans le secteur (ICO Charter, Security Token Network).
La division services blockchain de Chaineum, développe la technologie Chaineum Segment, une blockchain privée orientée objets.
About Chaineum:
Founded in 2015, Chaineum is a leading corporate finance advisory firm with a strong expertise in ICO and STO, and a strategic focus on both its clients' business and blockchain technology. As such, Chaineum paved the way in the implementation of certain best practices in this sector (ICO Charter, Security Token Network).
Chaineum's blockchain services division, is developing Chaineum Segment technology, an object-oriented private blockchain.
-------------------------
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en finance digitale, corporate finance & crypto finance.
Read for free The daily newspaper Finyear & its daily newsletter.
Receive the Finyear's newsletter every morning by email, a daily snapshot of the best news and expertise in digital finance, corporate finance & crypto finance.
------------------------
Chaineum :
Fondée en 2015, Chaineum est un cabinet de conseil en opérations de haut de bilan offrant une expertise de premier plan en matière d’ICO et STO, avec une vision stratégique orientée tant vers le métier de ses clients que sur la technologie blockchain. A ce titre, Chaineum a participé à la mise en œuvre de bonnes pratiques dans le secteur (ICO Charter, Security Token Network).
La division services blockchain de Chaineum, développe la technologie Chaineum Segment, une blockchain privée orientée objets.
About Chaineum:
Founded in 2015, Chaineum is a leading corporate finance advisory firm with a strong expertise in ICO and STO, and a strategic focus on both its clients' business and blockchain technology. As such, Chaineum paved the way in the implementation of certain best practices in this sector (ICO Charter, Security Token Network).
Chaineum's blockchain services division, is developing Chaineum Segment technology, an object-oriented private blockchain.
-------------------------
No Offer, Solicitation, Investment Advice, or Recommendations
This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.
Autres articles
-
Quelles sont les règles concernant le rachat d'un PER ?
-
Tony Fadell, inventeur de l’iPod et de Ledger Stax, rejoint le conseil d’administration de Ledger
-
Freqens : 3 millions pour la fintech afin de peaufiner sa plateforme de benchmarking des prix B2B
-
Wero, le portefeuille de paiement numérique d'EPI, arrive en Belgique
-
Etude | Les Fintechs Durables font leur Panorama