Authentification forte : pourquoi les marchands doivent s'inquiéter
"Vous ne pourrez pas dire que vous ne saviez pas !" Le 30 avril 2019, la Fédération du e-commerce français et de la vente à distance (Fevad) alertait les marchands sur l'entrée en application des nouvelles règles liées à l'authentification forte (Strong customer authentification, abrégé en SCA) dans l'Union européenne le 14 septembre prochain. Ce nouvel environnement réglementaire s'inscrit dans le cadre de la directive européenne sur les services de paiements (DSP2). L'Autorité bancaire européenne a cependant publié un avis fin juin en donnant la possibilité aux régulateurs d'accorder une période de transition jusqu'à mars 2020. Ce qui permet ainsi l'application du 3DS 1 (Verified by Visa, Mastercard SecureCode…) entre temps.
Quoi qu'il en soit, l'ère du 3DS 2 débutera le 14 septembre 2019. Les accès aux comptes bancaires et les transactions en ligne de plus de 30 euros seront vérifiés à l'aide d'au moins deux éléments d'authentification sur les trois suivants : un mot de passe que seul l'utilisateur connait, un appareil (téléphone, carte à puce…) que seul l'utilisateur possède, une caractéristique personnelle de l'utilisateur (empreinte digitale, reconnaissance faciale…). Autre nouveauté de cette réglementation : ce n'est plus l'e-commerçant qui décidera s'il faut appliquer de l'authentification forte sur une transaction mais l'émetteur de la carte bancaire (banque émettrice). Et ce n'est pas une bonne nouvelle sur plusieurs plans.
"Les professionnels du secteur prévoient une baisse de la conversion entre 10 et 15% en Europe"
Déjà, toutes les banques européennes ne seront pas forcément prêtes à déclencher de l'authentification forte le 14 septembre ou en mars 2020. Ce qui risque de bloquer des transactions et ferait donc perdre du chiffre d'affaires aux marchands. "Il faut craindre le pire au départ", s'inquiète Anton Bielakoff, CEO de Lyra Network, société spécialisée dans la sécurisation des paiements. Une récente étude de Stripe menée par 451 Research prévoit une perte de 57 milliards d'euros pour l'e-commerce en Europe la première année suivant l'entrée en vigueur du SCA.
Même si la transaction passe avec de l'authentification forte, ce scénario ne rassure pas pour autant les e-commerçants. "Les professionnels du secteur prévoient une baisse de la conversion entre 10 et 15% en Europe car l'authentification forte rajoute de la friction", indique Olivier Godement, en charge du sujet SCA chez Stripe. Les marchands pourront toutefois demander des exemptions pour certaines transactions, comme il est prévu dans le texte : un paiement fractionné, un payeur de confiance, une transaction à faible risque (le taux de fraude du prestataire de paiement ne dépasse pas un certain seuil)… "Pour avoir ces exemptions, il faut cependant faire des changements techniques très compliqués", prévient Olivier Godement. Et seuls les gros marchands, qui ont des départements de paiement et les ressources financières qui vont avec, peuvent les mettre en place.
Vers la fin du one click ?
Les petits e-commerçants doivent donc s'inquiéter du SCA. D'autant que la plupart ne sont pas au courant de cette nouvelle réglementation. "Nos clients PME n'ont pas vu le sujet arriver car il n'y a pas de spécialiste du paiement chez eux. C'est un sujet qui ne leur parle pas. Elles n'ont pas saisi l'ampleur de l'impact que cela va avoir", affirme Antoine Grimaud, CEO du prestataire de paiement PayPlug. "Certains vont se réveiller en revenant de vacances et vont mettre trois mois pour être compatibles", lâche-t-il. Une inquiétude partagée par Stripe, dont la majorité des clients sont des start-up et PME. "L'intérêt pour le SCA est très progressif. Une grand partie d'entre eux ne sont pas encore informés et beaucoup ne comprennent que partiellement l'impact", confirme Olivier Godement.
Les gros commerçants, quant à eux, ne sont pas non plus tous prêts. "Certains très grands clients s'y sont intéressés il y a un an et ont commencé à se poser des questions génériques afin de comprendre les grands enjeux et les impacts sur leurs parcours d'achat", raconte Violaine Rigaut, directrice des ventes d'Ingenico ePayments France. "Beaucoup de clients ne sont pas encore entrés dans les détails car ils ont d'autres priorités. Parfois on a des vents de panique", ajoute-t-elle. Les grands marchands qui ne passent pas par le protocole 3DS 1, ont du souci à se faire. En particulier ceux qui font du paiement en un clic. "Amazon a fait un gros lobbying auprès des banques mais il doit au final appliquer les mêmes règles que tout le monde", explique Jean-Michel Chanavas, délégué général de Mercatel, un think tank dédié au commerce et à la distribution. Contacté, le géant américain n'a pas répondu à notre demande d'interview sur le sujet.
"Beaucoup de marchands ne sont pas encore entrés dans les détails car ils ont d'autres priorités"
Pour les marchands qui ont des clients en dehors de la France, l'inquiétude est encore plus grande. Chaque banque européenne va décider de son système d'authentification forte. "Quel sera l'impact du taux de conversion au niveau global pour un marchand ?" s'interroge la patronne France d'Ingenico ePayments. Les paiements transfrontaliers cachent d'autres inconvénients. "Il va y avoir un risque de report de la fraude sur les émetteurs hors Europe. Comme il y aura plus d'authentification forte sur les cartes européennes, les fraudeurs vont se concentrer sur les cartes bancaires hors Europe. Les marchands qui vendent aussi en dehors du continent devront être plus vigilants", souligne Antoine Grimaud.
Les prestataires de paiement (PSP) multiplient par conséquent les communications auprès de leurs clients : newsletters, webinars, workshops…. "Nos commerciaux passent 80% de leurs temps sur le sujet", confie Violaine Rigaut. Certains ont mis à jour leurs plateformes de paiement pour être conformes au SCA ou ont sorti des solutions adaptées comme Stripe avec Checkout qui permet d'avoir une page de paiement qui optimise les exemptions et donc le taux de conversion. Chez PayPlug, le marchand doit seulement mettre à jour son module Prestashop, Magento ou autre. "Avoir un PSP qui a mis en place une solution et un environnement test est capital", abonde Ludovic Houri, CEO du prestataire Dalenys et responsable la BU Merchants de Natixis Payments. La marketplace de mobilier d'occasion Selency a changé de PSP début 2019 pour Stripe pour être sûr d'avoir "un taux de conversion supérieur à la moyenne du e-commerce" après le 14 septembre. Enfin, certains PSP ont déjà certifié leurs plateformes auprès de chaque réseau de carte (Visa, Mastercard, GIE CB…), ce qui sera obligatoire le 14 septembre.
Transmettre plus de données
Autre sujet d'inquiétude pour les marchands : l'accès au directory server (DS) d'un réseau (un pour Visa, un autre pour Mastercard…). L'accès à ce serveur, qui permet de réorienter la transaction vers le bon émetteur de carte, deviendra systématique et sera probablement plus cher. "Visa a indiqué qu'il ferait payer l'accès au DS deux centimes pour chaque transaction. C'est énorme pour un marchand", précise Anton Bielakoff. "Pour l'instant, le GIE CB ne le fait pas payer. Mais il pourrait le rendre payant l'année prochaine en s'alignant sur Visa", ajoute-t-il. Auparavant, l'accès au DS s'élevait à quelques millièmes de centimes et n'étaient pas systématique.
"Pour de grands marchands, les données de leurs clients sont leur richesse. Pourquoi enrichir le système des banques ?"
Les marchands, via leurs prestataires de paiement, devront aussi transmettre plus de données aux émetteurs s'ils veulent bénéficier plus facilement d'exemptions. Aujourd'hui, ils envoient le numéro de carte du client et la date de validité associée. Demain, ils pourraient transmettre l'adresse mail de leur client, leur numéro de téléphone ou encore l'adresse de livraison. "Pour de grands marchands, les données de leurs clients sont leur richesse. Pourquoi enrichir le système des banques ?", s'étonne Muriel Serres, e-commerce product manager chez Lyra Network. "Cela oblige les marchands à repenser leurs parcours client, quelles informations ils vont demander à leurs nouveaux clients et leurs existants", note de son côté Violaine Rigaut."Les commerçants ou leurs PSP peuvent envoyer des données mais comment vont-elles être utilisées ? A court terme, les banques n'ont pas encore fait les investissements nécessaires pour les exploiter", tempère de son côté Olivier Godement. Mais à moyen terme, les banques pourraient avoir toutes les cartes en main.