DSP2 : deux fois plus d'authentification, six fois plus de problèmes
On y est presque. L'entrée en vigueur de l'authentification forte est prévue pour le 15 mai prochain en France. A partir de cette date, toutes les transactions en ligne de plus de 30 euros seront vérifiées à l'aide d'au moins deux éléments d'authentification sur les trois suivants : un mot de passe que seul l'utilisateur connaît, un apparei l (téléphone, carte à puce…) que seul l'utilisateur possède, une caractéristique personnelle de l'utilisateur (empreinte digitale, reconnaissance faciale…). Mais ce nouveau système rejette certains types de transactions. Une task force organisée par la Banque de France réunit chaque semaine tous les acteurs concernés (marchands, prestataires de paiement, réseaux de carte…) pour démêler les problèmes qui risquent de faire chuter le taux de conversion des marchands.
Le paiement mobile
D'après l'association de commerçants Mercatel, l'authentification forte sur les paiements mobiles n'est pas du tout au point chez certains marchands. Alors que la part des ventes sur mobile progresse de mois en mois. "En théorie, la redirection en app to app est celle qui marche le mieux. En théorie. Car c'est ce qui fonctionne le moins bien. Les taux d'abandon de paniers sont très élevés", indique Jean-Michel Chanavas, directeur délégué de l'association, sans donner de chiffres précis. Lorsqu'un consommateur effectue un achat sur mobile et que l'authentification forte est appliquée, il voit s'afficher une notification de l'application de sa banque mobile. Il clique dessus, ce qui le bascule vers cette application. Jusque-là tout va bien.
"Apple Pay, Google Pay et Samsung Pay sont nativement adaptés à l'authentification forte"
Une fois qu'il réussit son authentification, il y a deux possibilités : soit il y a une redirection automatique vers le site de paiement soit rien ne se passe. Dans ce deuxième cas, les internautes les plus aguerris parviendront à retourner vers la page de paiement du site e-commerce tandis que les autres resteront bredouilles. "Si vous souhaitez acheter un billet de train et que ça ne marche pas, vous vous y prendrez à plusieurs fois ou essaierez de passer la commande sur votre ordinateur. Si vous êtes sur une application comme Veepee, qui concerne plutôt des achats d'impulsion, vous abandonnerez en vous disant que vous faites des économies", fait remarquer Bertrand Pineau, en charge des sujets paiements à la Fevad, fédération des e-commerçants. La task force de la Banque de France souhaiterait sortir des indicateurs sur le taux de succès en authentification forte en distinguant le mobile et le desktop.
De leur côté, les marchands doivent se pencher sur leurs parcours mobiles et se poser notamment la question d'intégrer un wallet, si ce n'est pas déjà fait. "Apple Pay, Google Pay et Samsung Pay sont nativement adaptés à l'authentification forte", indique Antoine Grimaud, CEO du prestataire de paiement PayPlug. "Cela va probablement pousser le développement de ces solutions chez les marchands pour les achats en ligne", ajoute-t-il.
Le paiement en un clic
L'authentification forte implique deux authentifications donc deux opérations manuelles. Ce qui va à l'encontre du paiement en un clic (qui ne nécessite pas de renseigner à chaque fois le code CVV de sa carte bancaire). "Je ne sais pas comment Amazon et les autres marchands concernés vont faire, car rajouter une étape dans un parcours en un clic perd tout son sens", estime Antoine Grimaud. Certains experts du secteur pensent que les marchands concernés vont demander un maximum d'exemptions (une liste d'exemptions est prévue dans la réglementation comme la possibilité de mettre un marchand sur une liste blanche), pour éviter la systématisation de l'authentification forte.
Des secteurs sous les radars
Les marchands issus de certains secteurs n'ont pas pris conscience ou n'ont même pas connaissance de la réglementation européenne puisque les transactions par carte ne sont pas majoritaires chez eux. "Ils n'ont donc pas priorisé ce chantier", atteste Jean-Michel Chanavas. Parmi ces secteurs, celui de l'assurance, l'énergie, le recouvrement ou encore les offices de HLM. Même si certains marchands n'ont que quelques pourcentages de transactions en carte, imaginez le montant que cela peut représenter pour un grand fournisseur d'électricité… "On a sous-estimé la complexité et le nombre de cas d'usage de la carte bancaire. Or, plein de cas doivent être testés pour être sûr que tout fonctionne avant l'entrée en vigueur de l'authentification forte", alerte le dirigeant.
Le multi-pays
L'authentification forte est un casse-tête européen, pas franco-français. Les marchands qui ont développé une présence sur le Vieux continent doivent regarder les calendriers dans chacun des pays concernés et identifier quelles banques sont prêtes. Car pour rappel, ce sont elles qui rejettent ou valident une transaction (ce n'est plus le marchand). "La plupart des émetteurs ne le sont pas en Europe, à part au Royaume-Uni. Les petits émetteurs ont encore de gros problèmes, tout comme les gros. Aux Pays-Bas, le plus gros émetteur du pays n'a toujours pas implémenté le 3DS2 (le nouveau protocole de sécurisation, ndlr)", raconte Bart Sprietsma, spécialiste du paiement chez le prestataire néerlandais Mollie.
"La plupart des émetteurs européens ne sont pas prêts, les petits comme les gros"
"Certains pays connaissent des variations de taux de succès de transactions très importantes. Le taux peut baisser d'un coup et remonter deux semaines plus tard", constate Grégoire Bourdin, CEO de HiPay, qui a une forte présence en Espagne, Portugal et en Italie. Conséquence : les prestataires doivent sans cesse ajuster leurs règles pour éviter que les transactions soient rejetées. Encore faut-il que le prestataire de paiement soit proche de l'émetteur. "En Norvège par exemple, on a très peu de contact avec les émetteurs, ce qui fait que nous avons du mal à avoir de l'information en temps réel", témoigne le patron de Hipay.
Les marketplaces
Si un consommateur passe une commande de deux produits sur une marketplace, il y a techniquement un paiement mais deux transactions. Si les deux produits achetés ont des montants supérieurs à 30 euros, ils peuvent faire tous les deux l'objet d'une authentification. Si l'une est refusée, la commande globale le sera aussi. "Il faudrait que les émetteurs soient souples et permettent de faire des retry rapidement", estime Bertrand Pineau.
Les moyens commerçants
Le top 100 des marchands en France représentent 70% du flux des sites d'e-commerce, d'après la Fevad. Ces gros marchands ont bien anticipé la réglementation européenne puisqu'ils ont les ressources nécessaires en interne. Et les petits ne sont pas les moins bien lotis. "Les 180 000 tous petits commerçants ont signé des contrats 3DS2 avec des prestataires ou des banques. Ils ont des solutions packagées et n'ont donc rien à faire.
L'inquiétude se trouve plutôt du côté du Tiers 2, les moyens-gros marchands qui ont des bons volumes de transactions mais ne sont pas équipés en monétique", avertit Bertrand Pineau. "Les PSP historiques, qui ont encore une grosse clientèle de Tiers 2, ont des systèmes legacy plus anciens que les nouveaux entrants et ne sont donc pas forcément prêts pour l'authentification forte", indique Antoine Grimaud. Si un marchand constate un fort taux d'échec de ses transactions, il devra envisager de changer son PSP en urgence, pas du tout l'idéal. "La concurrence va être encore plus acharnée", souligne le CEO de PayPug, qui se tient prêt.