Pour accéder à tout le contenu, rejoignez dès aujourd'hui la Fédération des Auto-entrepreneurs !

Comme 80.000 membres avant vous, regroupez-vous et faites-vous entendre !

J'ADHERE

Auto-entrepreneur e-commerçant, adoptez l'authentification bancaire DSP2


Moyens de paiement électroniques, l'authentification forte devient obligatoire

Auto-entrepreneur, professionnel indépendant qui vous faites payer en ligne, vous êtes concerné par la double authentification bancaire selon la directive européenne des services de paiement (DSP2). La DSP2, adoptée par le Parlement européen en mai 2018, est applicable dès septembre en France.

Cette directive s'attache à lutter contre la fraude, en l'espèce à sécuriser davantage les quelques 69 milliards de paiements par carte par an en Europe. Jusqu'à présent, pour acheter en ligne, l'acheteur devait confirmer son identité avec un code unique reçu par SMS: le système 3D Secure. Cette procédure, qui reste valide avec la DSP2, est la plus courante dans l'e-commerce avec 35% des paiements pour 71% des e-commerçants (source Observatoire de la sécurité des moyens de paiement).

L'article 97 (§1) de la directive DSP2 stipule que "le prestataire de services de paiement applique l'authentification forte du client lorsque le payeur:

  • a) accède à son compte de paiement en ligne;
  • b) initie une opération de paiement électronique
  • c) exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse."

Et c'est sans compter avec l'apparition, encore timide, du paiement par téléphone qui devrait se déployer.

Quelle double authentification du client avec la DSP2?

Les banques demandent aux clients acheteurs en ligne de prouver leur identité par deux facteurs différents. Le client, afin de sécuriser davantage ses transactions bancaires, et même se connecter à son espace en ligne, doit donc s'authentifier par deux moyens différents en principe à partir du 14 septembre 2019.

  • un mot de passe ou un code connu seulement par vous
  • un appareil détenu seulement par vous (téléphone mobile, smartphone, tablette)
  • une de vos caractéristiques personnelles (reconnaissance biométrique par empreinte digitale, reconnaissance vocale ou faciale).

En tant que client, cela suppose que vous possédiez au moins deux des trois moyens de vous authentifier. Ce qui peut poser problème aux personnes ne possédant pas de téléphone mobile ou autre appareil électronique de ce type.

Une authentification forte est demandée tous le 90 jours pour se connecter à sa banque.

Quelles obligations pour l'auto-entrepreneur e-commerçant?

En l'occurrence, c'est la banque émettrice (la banque de l'acheteur) qui demande l'authentification forte selon ses critères d'estimation de risques.

Ainsi, l'auto-entrepreneur e-commerçant doit s'assurer que son client a toute facilité pour acheter en ligne. Sinon il risque des abandons de panier avec un taux amoindri de taux de conversion.

Pour rassurer la banque du client et faciliter les échanges de données interbancaires, le e-commerçant doit donc fournir des informations les plus complètes et pertinentes possibles afin d'amoindrir au maximum le risque de fraude, de garantir la sécurité de la transaction en ligne.

L'article 97 (§2) précise que "l'authentification forte du client [comprend] des éléments qui établissent un lien dynamique entre l'opération, le montant et le bénéficiaire donnés."

La mise en oeuvre effective de la DSP2 suppose que tous les intervenants soient prêts: les prestataires de services de paiement (PSP) -c'est-à-dire les banques-, les prestataires techniques aux normes pour les différentes cartes (CB, Visa, Mastercard) et les e-commerçants.

En pratique, le déploiement est bien engagé. Cependant, la France, l'Allemagne, le Royaume-Uni ainsi que l'Italie et l'Espagne accordent un délai aux commerçants et aux banques. Ces derniers ont désormais dix-huit mois à trois ans pour se mettre en conformité avec la DSP2 (mars 2020 en Grande-Bretagne à janvier 2022 en France). Un vrai soulagement pour tous les intervenants!

Si d'ici 2022 en France, l'authentification par SMS reste la règle, il faut vraiment se préparer à la DSP2.

Quelles exceptions pour les paiements à distance ?

Déjà, la DSP2 prévoit d'exempter certains paiements en ligne de l'authentification forte pour:

  • les montants de moins de 30 euros
  • les abonnements et opérations récurrentes
  • les achats réguliers chez un commerçant inscrit par vous sur une liste blanche à la banque
  • les ordres de paiement donnés par mail ou téléphone
  • si l'émetteur du paiement par carte bancaire, ou le commerçant est hors Europe
  • les paiements par carte bancaire professionnelle.

Un peu de vocabulaire...

Sans doute rencontrez-vous ces termes:

  • procédure SCA (Strong Customer Authentification)
  • commande MOTO (Mail Orders, Telephone Orders)
  • prestataires de services de paiement (PSP), pour les banques et établissements de paiement.

À lire aussi

Usine-digitale, 28/06/19 - Authentification forte: risques et opportunités

Les Echos, 26/08/19 - L'authentification par SMS reste la règle jusqu'en 2022

-