Authentification forte des paiements par carte sur Internet : les commerçants et les créanciers en première ligne

Que dit la nouvelle règlementation ?

La nouvelle règlementation européenne du secteur des paiements, dite DSP2 (2e directive sur les services de paiement), prévoit que les paiements par carte sur Internet doivent désormais faire l’objet d’une authentification forte du payeur de façon quasi systématique.

Certaines transactions pourront néanmoins bénéficier d’une exemption d’authentification. Les textes prévoient quatre cas de figure : bénéficiaire de confiance, opération récurrente, opération de faible valeur unitaire (moins de 30 euros) et opération à risque limité.

Le choix d’accorder ou non une exemption revient, in fine, à la banque émettrice de la carte.

Qu’est-ce que cela change pour les commerçants et les créanciers ?

Jusqu’à présent, les commerçants et les créanciers qui acceptent des paiements par carte en ligne avaient la faculté de recourir à un paiement sécurisé en choisissant d’activer le protocole 3D-Secure ; ils n’étaient toutefois pas tenus de justifier leur choix quand ils ne demandaient pas l’authentification de leur client. Ce mode d’activation à la main du bénéficiaire n’est plus autorisé par la loi.

La nouvelle règlementation change les règles de décision en matière d’authentification :

  • commerçants et créanciers devront, sauf exemption, recourir systématiquement à une authentification forte, et ce à chaque paiement accepté sur Internet ;
  • l’activation d’une des quatre dérogations prévues par les textes pour fluidifier le parcours de paiement peut notamment être réalisée à l’initiative du commerçant/créancier via une version plus avancée du protocole 3D-Secure, dite v2, mais l’activation reste soumise à l’approbation de la banque émettrice de la carte.

Quel est le calendrier de mise en place ?

L’Observatoire de la sécurité des moyens de paiement, au travers duquel la Banque de France pilote la mise en conformité du marché français, a fixé pour objectif un haut niveau de conformité à la règlementation à la fin de l’année 2020. Cette position est cohérente avec les attentes de l’Autorité bancaire européenne et permet ainsi d’assurer une trajectoire compatible avec celle des autres États membres de l’Union européenne.

Afin d’inciter les commerçants et les créanciers à se préparer, le plan de migration prévoit l’introduction d’un dispositif dit de « soft decline » qui va conduire les banques à rejeter de plus en plus de transactions non conformes avec le régime cible :

  • depuis le 1er octobre 2020, les paiements sur Internet de plus de 2 000 euros déclenchés hors 3D-Secure sont systématiquement rejetés par la banque du porteur de la carte au moyen d’un message invitant à utiliser ce protocole d’authentification du paiement ;
  • ce seuil va être abaissé par paliers : à 1 000 euros en janvier 2021, puis à 500 euros à partir de mi-février 2021 ;
  • à compter d’avril 2021, les conditions d’émission de messages soft decline pourront être ajustées en fonction du niveau de conformité du marché français par rapport à la règlementation.

Comment s’y préparer ?

Les commerçants et les créanciers qui acceptent des paiements par carte sur Internet sont invités à se rapprocher de leur banque acquéreur et, le cas échéant, de leur prestataire technique d’acceptation, afin de préparer ces évolutions, en particulier :

  • vérifier que leur contrat d’acceptation des paiements en ligne prévoit bien la possibilité de recourir au protocole 3D-Secure ;
  • s’assurer de leur capacité technique à émettre des paiements via 3D-Secure ;
  • veiller à une utilisation croissante de ce protocole qui permette d’assurer la continuité de leurs encaissements, en particulier dans la perspective de l’abaissement programmé des seuils d’émission de soft declines, et de faciliter, avec la version 2 de 3D-Secure, la gestion des exemptions.

De façon symétrique, les professionnels du marché des paiements ont été invités à se rapprocher de leur clientèle de commerçants et de créanciers afin de les sensibiliser à ces nouvelles exigences et de les accompagner dans ces évolutions.

 

Pour savoir plus, voir le site de l’Observatoire de la sécurité des moyens de paiement (OSMP).