E-commerçants, voici comment vous préparer au SCA

A partir du 14 septembre prochain, des centaines de millions de consommateurs européens devront changer leur façon d’acheter en ligne. Ce sujet, potentiellement bien plus impactant que le RGPD pour les entreprises européennes, ne fait pourtant pas les gros titres.

L’entrée en vigueur de l’authentification forte, ou SCA pour "Strong customer authentication", est une bombe à retardement qui risque d’amputer l’économie européenne d’une centaine de milliards d’euros chaque année, si elle est mal anticipée.

Concrètement, à partir du 14 septembre 2019, les consommateurs devront confirmer leur identité avec au moins deux des trois éléments suivants lorsqu’ils effectuent la plupart de leurs achats en ligne : un élément qu’ils connaissent (un mot de passe, une question secrète), un objet qu’ils possèdent (un smartphone, une clé de vérification) ou une caractéristique de leur identité (leur empreinte digitale ou leur visage). L’objectif est noble : rendre les paiements en ligne plus sûrs pour les consommateurs et les entreprises. D’ici au 14 septembre, les entreprises devront donc se mettre en conformité avec les nouvelles normes SCA, sans pour autant altérer l’expérience de paiement pour leurs clients qui plébiscitent les achats invisibles (en 1 clic, prélèvements automatiques…). Or, à cinq mois de son entrée en vigueur, trois e-commerçants sur quatre en Europe ne connaissent pas la SCA ni ses conséquences.

L’enjeu est de taille

Si les entreprises ne sont pas prêtes le 14 septembre, leurs clients risquent de ne plus pouvoir payer leurs achats en ligne. Lorsque l’Inde a introduit une législation similaire en 2014, certains e-commerçants ont vu leur taux de conversion chuter de 25% du jour au lendemain ! Et si l’expérience de paiement devient trop complexe pour les clients, SCA coûtera également très cher aux entreprises. Aujourd’hui, les e-commerçants investissent considérablement pour optimiser des points de base (un centième de point de pourcentage) de conversion. Demain, une expérience de paiement trop rigide (par exemple qui impose l’authentification forte sur toutes les transactions) pourrait faire chuter le chiffre d’affaires des entreprises de près de 10 à 15 %, selon les estimations des professionnels du secteur. De quoi faire froid dans le dos.

Qu’est-ce qui rend SCA si complexe ?

SCA est la réforme la plus importante du secteur du paiement depuis 2001, et la mise en place des schémas de paiements transfrontaliers en Europe (à l’origine de SEPA). L’application de la réglementation est décentralisée à travers plusieurs niveaux d’interprétation :

•  Au niveau réglementaire : la SCA fait partie de la directive DSP2, qui est le cadre législatif de référence. Comme il s’agit d’une directive, il n’y a pas d’application directe. SCA doit être interprétée par les 31 régulateurs nationaux de l’Espace économique européen.
  
  
•  Au niveau bancaire : la DSP2 a prévu des exemptions à l’application de SCA, notamment pour les transactions à faible risque. Or, l’application de ces exemptions dépend de la banque du client et non de celle du marchand. A moins d’avoir une relation directe avec les plus de 6 000 banques européennes, un marchand n’a pas la possibilité de savoir en amont si un paiement peu risqué va pouvoir bénéficier d’une exemption, et risque donc de se le voir refuser, même s’il est a priori légitime et conforme aux cas de figures prévus par la loi.
  
  
•  Au niveau technique : la SCA va faire évoluer la plupart des expériences de paiements, notamment les paiements par carte, très populaires en Europe. Or, les différents réseaux de cartes ont différentes interprétations de la réglementation SCA et leurs exigences techniques varient considérablement. C’est donc au marchand de s’adapter et de reconnecter les différentes pièces du puzzle, pour offrir une expérience de paiement fluide à ses clients.

Quelles solutions pour les marchands ? 

D’ici au 14 septembre, chaque e-commerçant européen devra s’interroger sur la stratégie à adopter pour répondre à la réglementation SCA. Sachant que ne rien faire serait une catastrophe pour leur activité, ils disposent de trois options raisonnables.

La première : intégrer et appliquer systématiquement 3D Secure 2 (3DS2), la solution développée par l’industrie pour maximiser la sécurité des transactions tout en garantissant la fluidité des paiements, notamment sur mobile. Outre la nécessité de s’appuyer sur un partenaire technique qui propose 3DS2, il existe un risque non-négligeable que certaines banques européennes ne seront pas prêtes le 14 septembre 2019 à accepter 3DS2. Dans ce cas, les banques et les marchands devront se replier sur un usage systématique de 3DS1, une solution peu adaptée aux achats sur mobile, et dont l’impact sur le taux de conversion reste très élevé (de l’ordre de 11% de chute de conversion en moyenne selon Visa).

La seconde option : créer et maintenir une infrastructure de paiement sur mesure. Concrètement, un marchand devrait se connecter lui-même aux réseaux de carte de paiement et à l’ensemble des moyens de paiements biométriques compatibles avec SCA (par exemple Apple Pay, Google Pay...). Il devrait, par ailleurs, créer une infrastructure technique complexe tenant compte de la réglementation SCA et de ses exemptions, et enfin imaginer des milliers de flux de paiements potentiels, en fonction du pays d’origine de son client, de sa banque et de son moyen de paiement. Ce choix est réservé à de très gros marchands, de par son coût considérable (juridique, technique, humain) en raison de la complexité du régime d’exemption et de ses multiples interprétations par les 6 000 banques européennes. Il est également complexe à gérer car il impose un suivi permanent des interprétations des acteurs sur les règles SCA (qui peuvent évoluer à la discrétion des banques). 

La troisième option : de loin la plus simple mais à considérer avec sérieux – est la délégation à un prestataire de service de paiement (PSP). En effet, déléguer entièrement la gestion de SCA à un PSP moderne évitera au e-commerçant de devenir lui-même un expert de SCA et minimisera l’impact financier. En théorie, un PSP moderne connaîtra parfaitement les règles européennes, les exemptions, leur interprétation par les banques européennes et les réseaux de carte, et proposera des solutions de paiement compatibles avec SCA (par exemple Apple Pay ou Google Pay) ? Malheureusement, rares sont les acteurs européens du paiement à accompagner les marchands dans cette transition. Selon une étude Mastercard, la majorité (56 %) des e-commerçants européens n’ont pas été informés par leur PSP. Pire, rare sont les acteurs du secteur à avoir développé une solution technique adaptée. 

Il y a quelques années, le paiement était considéré comme bien trop stratégique pour être délégué à un tiers. C’est aujourd’hui tout l’inverse. Faire le mauvais choix dans sa stratégie de paiement, c’est s’exposer à une perte importante de chiffre d’affaires, et surtout ralentir la croissance de l’activité.