Authentification forte : la pression monte pour obtenir un report
Le calendrier de l'authentification forte pourrait bien être bousculé. Ce volet de la directive européenne sur les services de paiements, la DSP2, doit entrer pleinement en vigueur le 31 décembre 2020. A partir de cette date, les transactions en ligne de plus de 30 euros seront vérifiées à l'aide d'au moins deux éléments d'authentification. Autre élément important : ce n'est plus l'e-commerçant qui décidera s'il faut appliquer de l'authentification forte sur une transaction mais l'émetteur de la carte bancaire (banque émettrice). Cependant, en raison de la crise liée au coronavirus, les marchands et banques ne seront probablement pas prêts pour la fin de l'année. De nombreuses fédérations de commerçants ont fait savoir à l'Autorité bancaire européenne (EBA) leur souhait de reporter la deadline de plusieurs mois. "Il est impossible de tenir les délais. Ce n'est pas un sujet qui est sur le haut de la pile", martèle Jean-Michel Chanavas, délégué général de Mercatel, think tank spécialisé dans le commerce et la distribution.
"Il est impossible de tenir les délais. Ce n'est pas un sujet qui est sur le haut de la pile"
La Fevad, fédération de l'e-commerce, participe à un groupe de travail dédié à l'authentification forte aux côtés des banques, prestataires de paiement (PSP), réseaux de cartes bancaires ou encore la Banque de France. "Fin mars, nous avons fait état des difficultés rencontrés par les marchands. C'est encore plus dur pour les banques de faire des interventions lourdes et des tests à distance. Tout le monde était d'accord, y compris la Banque de France, pour considérer qu'on a besoin d'un délai supplémentaire", indique Bertrand Pineau, de la Fevad. "Les deux mois écoulés ont clairement montré que la vente à distance était vitale pour l'économie. C'est un relais du commerce à beaucoup d'égards. Mettre un frein à la vente à distance est inacceptable politiquement", lâche Antoine Grimaud, CEO de Payplug, prestataire de paiement appartenant à Natixis, qui redoute une chute des taux de conversion." Tout le monde sait que le report est inéluctable. Nous, Dalenys (un PSP appartenant aussi à Natixis, ndlr) et les autres acteurs avons un discours pro DSP2. Nous sommes prêts et nous allons accompagner nos marchands. Mais nous devons aussi jongler avec d'autres priorités en ce moment", complète-t-il. Les marchands sont plutôt préoccupés par la chute de leurs chiffre d'affaires et la façon de mieux appréhender la reprise que par la mise en place de l'authentification forte.
Retard bancaire
Il reste encore beaucoup de tests à faire côté e-commerçants avant octobre. Car la date du 31 décembre n'est pas vraiment adéquate puisque la grosse saison des marchands commence en novembre avec le Black Friday. Il faut dont être prêt bien avant. "Il n'est pas question que les gros commerçants passent leurs flux dans des systèmes qui n'ont pas été testés", estime Bertrand Pineau. Même si les PSP et marchands arrivent à être prêts d'ici là, le gros retard se trouve du côté des banques. Toutes ont mis en place des dispositifs d'authentification forte mais encore faut-il qu'ils soient utilisés par les consommateurs.
"J'ai du mal à croire que la France pourra prendre une position aussi engagée qu'au Royaume-Uni"
Concrètement, quand une personne fera un achat (c'est déjà le cas dans de nombreux cas aujourd'hui), elle recevra une notification de sa banque sur son téléphone et devra ensuite valider l'achat avec un code et/ou une empreinte biométrique. Or, tous les Français n'ont pas encore installé l'application de leur banque sur leur smartphone. "S'il faut équiper 1 000 clients, c'est facile, 70 millions c'est autre chose", souligne Antoine Grimaud. Cela laisse donc quelques mois aux banques pour convaincre les réticents à installer leurs applications. Mais avec la crise actuelle, les établissements bancaires ont d'autres urgences à traiter comme l'octroi de prêts garantis par l'Etat (PGE). Contactée sur le sujet, la Fédération bancaire française, n'a pas donné suite à notre demande d'interview.
Un report de six mois
Comment obtenir un report ? En passant par la Banque de France, mais celle-ci ne souhaite pas prendre de décision seule puisqu'il s'agit d'une réglementation européenne. "La Banque de France fait des pieds et des mains pour avoir une position de l'EBA", assure un expert du paiement. Le Royaume-Uni a lui fait cavalier seul. Le régulateur britannique, la FCA (Financial conduct authority), a annoncé fin avril avoir décalé de six mois la deadline sur l'authentification forte. "On aimerait beaucoup faire en France ce qui est fait au Royaume-Uni. Mais le Royaume-Uni est un Brexiter et dans quelques mois il n'aura plus de comptes à rendre à l'EBA", note notre expert. "J'ai du mal à croire que la France pourra prendre une position aussi engagée qu'au Royaume-Uni car elle a du mal à se distancier de l'EBA", ajoute-t-il. "Nous aimerions que la Banque de France fasse comme la FCA", nous dit-on à la Fevad. La Banque de France a déjà pris une fois les devants, pour un précédent report. A l'origine, l'authentification forte devait entrer en vigueur le 14 septembre 2019. Un plan de migration d'un protocole à un autre a été mis en place par les acteurs concernés et validé par la Banque de France avant que l'EBA valide les différents plans européens.
L'ensemble des acteurs impliqués souhaiterait un report entre trois et six mois. "Cela permettra de bien roder les systèmes et monter en puissance. Un an serait trop long, les marchands veulent quand même passer à autre chose", fait remarquer Bertrand Pineau. "Un report de six mois serait probablement le bon niveau où mettre le curseur, étant donné le retard que le marché a pris", renchérit notre expert. Tous aimeraient être rapidement fixés sur le sort de l'authentification forte et éviter de revivre la même expérience de 2019, quand ils se sont retrouvés à quelques semaines de la deadline sans calendrier explicite.