Authentification forte au-delà de 10 euros : complications en vue pour l'e-commerce en Europe
L’Autorité bancaire européenne rencontre la Commission européenne ces 28 et 29 novembre pour mettre au point les décrets d'application de la nouvelle directive sur les paiements. Parmi les propositions étudiées, certaines menacent de sérieusement perturber la façon dont nous faisons nos achats en ligne.
Alors que le paiement en un clic – la moitié des ventes e-commerce aujourd’hui - tend à se généraliser, pour le plus grand confort de tous, cette façon de payer est remise en question. Bientôt, nous ne pourrons plus réaliser de paiements rapides et automatiques, ni sur les sites e-commerce que nous fréquentons régulièrement, ni avec notre carte préenregistrée de manière sécurisée chez les commerçants en ligne, ni même payer simplement depuis nos applications mobiles (« in-app »).
En effet, l’Autorité bancaire européenne (EBA) a présenté des propositions pour la mise en œuvre de ce qu’on appelle la strong customer authentication (SCA), ou authentification forte du client. Ce projet adopte une approche indifférenciée pour toutes les situations de paiement. Il propose que toute transaction en ligne au-delà de 10 euros requière des étapes supplémentaires d’authentification lors du passage en caisse, comme la saisie de mots de passe, de codes, voire l’utilisation d’un lecteur de cartes.
L’enquête menée auprès de consommateurs pour Visa montre que cela impactera de façon tangible le consommateur et les sites marchands : 61% des personnes interrogées affirment qu’une procédure plus longue de paiement en ligne les fera abandonner leur achat.
Par ailleurs, ces mesures auront pour effet un accès restreint aux sites e-commerce situés en dehors de l'Europe, avec un impact potentiel sur environ 6 milliards d'euros de transactions. Et il faut s’attendre à un allongement des files d'attente là où le code PIN de sa carte n’était pas requis aujourd’hui, que ce soit pour payer aux péages ou dans les parkings par exemple.
Visa soutient pleinement les mesures de sécurisation forte. Nous avons défendu l'authentification sécurisée, mais celle-ci doit être basée sur le risque réel de la transaction, et non sur une approche indifférenciée, quelle que soit la nature et le montant de la transaction.
Nous demandons à l'EBA d’autoriser le principe d’authentification « basée sur les risques », qui permet de décider du niveau de sécurité à appliquer en fonction de la connaissance que les fournisseurs de services de paiement (banques) et les commerçants ont de leurs clients et de leurs historiques de consommation.
Le commerce électronique a été une réussite européenne dans un contexte de morosité économique. Cette initiative menace de ralentir la croissance et de réduire la compétitivité des entreprises européennes face à des concurrents opérant ailleurs dans le monde. Et, in fine, de pénaliser les consommateurs avec des contraintes supplémentaires engendrant plus de refus de paiements et un parcours client long et compliqué… avec peu ou pas de bénéfices par rapport à ce qui existe aujourd’hui.