Plan de migration DSP2 : les marchands doivent accélérer
Déjà pratiqué entre avril et août sur les transactions douteuses, le soft decline (refus d'autorisation en cas de transaction non authentifiée) est appliqué en France sur toutes les transactions e-commerce d'un montant supérieur à 2 000 euros et n'ayant pas fait l'objet d'une authentification depuis le 1er octobre. Cette règle sera étendue à partir de janvier 2021 aux transactions d'un montant supérieur à 1 000 euros puis en février aux transactions supérieures à 500 euros et enfin, progressivement, à compter d'avril 2021 aux transactions de moins de 500 euros. Tel est le calendrier validé le 22 septembre dernier par l'Observatoire de la sécurité des moyens de paiement (OSMP). L'objectif ? Inciter les commerçants à se rapprocher progressivement des conditions d'une complète conformité en accord avec le plan de migration DSP2 disponible sur le site de la Banque de France.
Pour autant, si le calendrier s'affine, l'OSMP et la Banque de France, référents sur ce sujet, ont tenu compte du retard pris par les différents acteurs, coronavirus oblige. Les marchands ont logiquement revu leurs priorités alors que du côté des prestataires de paiement et des banques, il n'était pas question d'aller trop vite à un moment où les clients n'avaient pas toujours accès à leur banque et n'avaient pas la possibilité de modifier leur moyen de paiement. Sans oublier que les prestataires techniques des marchands ne souhaitaient pas non plus bousculer les marchands alors que l'e-commerce devenait crucial pour les achats de tous les jours pendant le confinement.
Priorité au top 100 du e-commerce
Si la première migration en faveur de l'authentification forte relève des émetteurs, celle-ci impacte l'expérience client et donc les marchands. En effet, cette étape implique que tous les internautes disposent de l'application mobile de leur banque et paramètrent leur système d'authentification biométrique (car c'est la banque du client qui effectue l'authentification forte du paiement en fonction des paramètres fixés par le marchand). "Là où le consommateur était habitué à recevoir un sms, son parcours d'achat ne sera plus le même, souligne Bertrand Pineau, spécialiste paiement et monétique à la Fevad. Dans quelques mois, le processus aura gagné en fluidité mais pour l'heure les marchands sont inquiets car ce changement est source de problèmes techniques au niveau de l'affichage de la fenêtre, du temps de chargement, et in fine, l'achat n'a pas lieu." La communication des marchands auprès de leurs clients quant à la nouvelle procédure d'authentification forte devrait démarrer prochainement.
Dans le même temps, la seconde migration concernant la mise en œuvre des infrastructures 3DSV2 (pour 3D-Secure V2), et donc le parcours de paiement, est elle aussi laborieuse, et sujette à des problèmes techniques. Cette étape nécessite une forte collaboration entre les différents acteurs de la chaîne de paiement. "Les mises à jour tiennent compte de la DSP2 car il faut pouvoir véhiculer plusieurs données dans le flux de la transaction", explique le spécialiste de la question à la Fevad. Mais cette nouvelle infrastructure nécessite du rodage et une montée en charge complexe de la part des e-commerçants. "Les gros marchands sont déjà sur le pont, à l'image d'Amazon, Veepee et Oui.sncf, qui ont engagé des tests. Concrètement, ils envoient un certain nombre de transactions dans ces nouveaux flux, en priorité celles qui nécessitent de l'authentification forte", dévoile Bertrand Pineau. Les incidents techniques ayant été nombreux cet été, les marchands ne basculeront leur flux que très progressivement, début 2021. Pour autant, à l'approche du Black Friday et des fêtes de fin d'année, le discours de la Fevad est sans ambiguïté : "Les marchands doivent maintenant lancer les tests unitaires, se connecter au système 3DSV2, se raccorder à leur prestataire technique et déterminer si le couple prestataire technique/banque acquéreur fonctionne correctement d'ici la mi-novembre", recommande Bertrand Pineau, ajoutant que le top 100 du e-commerce français, qui représente 95% du volume des transactions doit basculer en priorité. "Aujourd'hui, nous sommes à 60% de l'objectif en nombre de transactions alors qu'il faudrait atteindre 90% de transactions authentifiées", rappelle-t-il.
La majorité des marchands basculera au fur et à mesure full 3DS en toute transparence. Du moins, c'est l'objectif de PayPlug, prestataire de paiement pour des marchands d'envergure modeste. "On a commencé les tests dès les premiers soft decline sur les transactions frauduleuses. Cela représentait 0,01% des transactions et cela nous a permis de nous exercer", retrace Antoine Grimaud, CEO de PayPlug. Si les mastodontes du e-commerce pilotent ces différentes étapes en interne, les PSP à l'image de PayPlug prennent la main sur les process à la place des marchands. Et Antoine Grimaud d'ajouter : "L'approche est différente car nous nous efforçons que le sujet DSP2 passe inaperçu pour nos clients. Nous sommes prêts depuis longtemps."