La directive DSP2, qu’est-ce que c’est ?
La directive DSP2 entrera en vigueur en septembre 2019 et engendrera un impact notamment dans le secteur
du e-commerce. On vous éclaire sur les changements à venir !
La directive DSP2 entrera en vigueur en septembre 2019 et engendrera un impact notamment dans le secteur
du e-commerce. On vous éclaire sur les changements à venir !
1 – La directive DSP2, qu’est-ce que c’est ?
Alors que la DSP1, directive de l’union européenne, avait introduit le statut de prestataire de services de paiement qui permettait aux sociétés non bancaires d’effectuer des transactions financières et obligeait les banques et autres prestataires de services de paiement à être transparents sur leurs services et leurs frais, la directive sur les services de paiement 2 marque une seconde évolution.
En effet, l’authentification des porteurs de carte bancaire lors d’un acte de paiement se fait par le biais du protocole 3D Secure. Celui-ci permet de s’assurer que la personne ayant saisie les informations de carte bancaire sur la page de paiement est légitime pour cet achat : il lui est demandé de réaliser une action supplémentaire permettant de l’identifier en tant que porteur de la carte bancaire. Jusqu’à présent, cette phase d’authentification était basée sur la version 1 du protocole.
La nouvelle ordonnance qui a permis la mise en place de la DSP2, transposée par l’ordonnance du 9 août 2017, met en place de nouvelles normes techniques de réglementation (RTS) qui mentionnent que les transactions seront vérifiées à l’aide d’au moins deux éléments sur les trois suivants : un mot de passe ou un code que seul l’utilisateur connaît, un appareil que seul l’utilisateur possède ou une caractéristique personnelle du client.
Cela met donc en place une authentification forte via une meilleure vérification de l’identité de l’acheteur et ainsi une sécurisation des opérations sur les sites e-commerce.
Afin de lutter contre la fraude, l’authentification dite “forte” fait partie des normes techniques de réglementation (RTS) de la DSP2. Elle doit comprendre obligatoirement deux des facteurs suivants, dans le cadre d’un paiement en ligne de plus de 30€ :
- Un code ou un mot de passe
- Un appareil que l’on possède
- Une donnée biométrique (empreinte digitale, voix ou iris)
Que dois-je faire ?
Vous devez vous assurer que votre module de paiement soit en conformité avec les normes techniques de réglementation (RTS) propres à la directive DSP2 : pour cela, nous vous invitons à vous rapprocher de votre solution de paiement.
Si votre solution de paiement n’est pas à jour en date du 14 septembre 2019, vous pourrez faire face à deux risques majeurs :
- Si la banque ne reçoit pas les données qu’elle attend, elle peut choisir de demander une authentification forte. Vous assisterez donc à un allongement des étapes d’achat de vos clients et à une diminution de la conversion de vos ventes.
- Si votre solution de paiement effectue le paiement avec 3-D Secure 1.0, la banque de l’acheteur peut décider de refuser le paiement.
2 – L’avis de notre expert : Benjamin Thieulent
Quel est l’impact réel de la directive DSP2 sur les sites e-commerce ?
La directive DSP2 étant une directive uniquement bancaire, ne touche pour les sites Ecommerce que les modes de paiement et plus particulièrement les paiements par carte de crédit.
Le premier impact direct est l’interdiction de la surfacturation autrement dit l’application de suppléments en cas de paiement par carte de débit ou de crédit, aussi bien dans un magasin qu’en ligne.
Enfin, et il s’agit du plus fort impact, la directive DSP2 oblige l’utilisation d’une authentification forte pour la validation du paiement par carte bleue (c’est-à-dire à deux facteurs au moins entre un code ou mot de passe que l’on sait, un appareil que l’on possède, une donnée biométrique telle que l’empreinte digitale, la voix ou l’iris) pour les paiements en ligne de plus de 30 euros, afin de réduire la fraude dans l’e-commerce.
Le paiement par carte bleue étant sur les sites e-commerce systématiquement géré par une solution bancaire dédiée via un Module et/ou une API (exemple : paybox, Paypal, Monetico…), une mise à jour du module ou de l’api sera certainement à prévoir. Chaque solution de paiement étant maître de son propre fonctionnement technique, les changements à effectuer sur le e-commerce et le module de paiement par carte dépendront de la solution de paiement utilisée.
Chaque solution de paiement carte bleue propose une migration vers une directive DSP2 différente et plus ou moins impactante selon l’intégration sur le e-commerce.
Chez Mayflower, nous sommes en capacité, pour chaque solution, de connaître précisément les impacts !
Y a-t-il quelque chose à craindre du passage entre la DSP1 et la DSP2 ?
Avec l’aval de l’autorité bancaire européenne , la France accorde trois ans supplémentaires pour s’assurer que l’ensemble des acteurs, y compris les plus isolés, bénéficient d’une solution sécurisée d’ici à 2022. Il ne devrait donc pas y avoir de coupure de la DSP1 le 14 septembre 2019.
Si cela est le cas, cela aura été fait à l’initiative de la solution de paiement et en ligne et non de la loi. À notre connaissance, aucune solution en ligne n’a encore décidé de faire cela. Il faudra cependant faire l’effort de migrer vers la DSP2 dès que celle-ci aura été mise en place.
Pour ce qui est de l’intégration, une bonne recette de la mise à jour sur un serveur de pré-production avant la mise en ligne devrait éviter tout risque de coupure lors de la migration.
Enfin il y aura surement un impact sur les ventes en ligne, la DSP2 va contraindre les utilisateurs à plus d’authentification lors du paiement par carte bleue.
Il reste à voir l’impact que cela aura sur les taux de conversion !
