Última actualización: 17/07/2019

En Janvier 2018 est entré en vigueur la directive de régulation européenne (PSD2) sur les services de paiement et sera appliquée à partir du 14 septembre 2019. 

Payment Services Directive 2 (PSD2) a pour objectif principal d’améliorer et faciliter la sécurité des systèmes de paiement sur internet, en encourageant l’innovation et la concurrence en plus de limiter les fraudes et les abus sur les consommateurs.

 

Index

 

1. Directive de l’UE pour standardiser tous les paiements en ligne.

1.1. APIs des banques publique.

1.2. Qu’est ce que le protocole 3DSecure?

1.3. Authentification à double facteur ou SCA.

2. La PSD2 et les E-commerces.

2.1. Quelles sont les répercussions pour les magasins en ligne?

2.2. Comment pouvons-nous limiter les impacts de la normative sur l’e commerce?

2.3.  Comment puis-je appliquer la PSD2?

2.3.1 Comment envoyer les données SCA aux banques émettrices?

2.4. Comment pouvons-nous améliorer la conversion des magasins en ligne?

 

1. Directive de l’UE pour standardiser tous les paiements en ligne.

Dû aux avancées et aux changements technologiques dans les modes de paiements, il devient nécessaire de créer une régulation consolidée et égalitaire dans tous les états membre de l’union européenne. Pour générer un environnement plus fiable et plus sûr, la PSD2 offre une régulation des services à fournir, de nouvelles obligations pour les services en ligne et plus de transparence pour le consommateur.

1.1. APIs de banque publique.

Le point le plus important de cette directive oblige les banques à avoir des APIs publique pour des entreprises tierce, appelées TPPs (Third Party Payment Service Providers). En conséquence, les TPPs ont accès aux comptes bancaire des clients et peuvent réaliser les paiements en son nom, avec l’autorisation préalable du titulaire du compte.

Pour permettre sans risques, l’accès aux comptes des consommateurs à un tier, apparaissent deux services de paiements: “démarrage des paiements” et “informations des comptes bancaire”.

Les services de démarrage des paiements sont réalisés par les “fournisseurs de démarrage des paiements” (PISP). Ils permettent de démarrer un ordre de paiement, toujours avec l’accord du client, sans que la banque est besoin d’intervenir dans l’opération. Pas besoin de signer ni d’utiliser une carte bancaire. Le PISP se charge de connecter l’entité bancaire et le magasin en ligne qui reçoit le montant final.

Exemples de PISP: Paypal, Epay, Stripe, Mollie, PayU.

Le second service, “Information des comptes bancaire” est réalisé par les fournisseurs d’informations des comptes bancaire (AISP). Ils permettent à l’utilisateur des services de paiement d’avoir à tout moment l’information global de la situation financière de l’acheteur.

Exemples: Fintonic, Afterbanks, Cuéntica, Eurobits, Albert, myvalue.

Pour pouvoir être fournisseur de lancement de paiement ou un fournisseur d’information de compte bancaire, il est nécessaire de posséder une licence unique assujettie à une série de conditions exhaustives, strictes et invariable pour tous les états membres de l’Union Européenne.

Cette licence est attribuée par les banques nationales de chaque état.

De plus, la PSD2 oblige aux responsables à offrir la lecture des comptes bancaires (AIS ou PISP) à mettre en marche les SCA (Strong Customer Authentication) ou authentification à double facteur.

 

1.2. Qu’est ce que le protocole 3DSecure?

C’est un mode de paiement développé par Mastercard y Visa pour réaliser des paiements sur internet de manière sécurisé. Cette méthode authentifie l’acheteur comme titulaire de la carte bancaire, en introduisant une clé secrète reçu sur le téléphone de celui-ci pour autoriser l’achat réalisé.

1.3. Authentification à double facteur ou SCA. 

 L’authentification renforcée (3DSecure), qui  était optionnelle dans le passé, devient maintenant obligatoire (SCA), et oblige pour s’authentifier, à choisir deux types d’authentification 3DSecure, parmis tous les outils disponibles qu’offre les banques et les émetteurs pour réaliser l’authentification des acheteurs. 

  • Éléments de possession: quelques chose que l’utilisateur possède, comme le téléphone mobile ou le Token (au travers d’un logiciel), etc.
  • Éléments de connaissance: quelques chose que connait uniquement l’utilisateur, son code PIN, numéro de carte, etc.
  • Inhérence ou caractéristique personnelle: Authentification biométrique, empreinte tactile, reconnaissance faciale, de voix, etc.

C’est un des points les plus important pour l’e-commerce,  car la banque oblige à rediriger au 3DSecure et le client doit encore écrire les informations bancaires au moment de payer.

2. La PSD2 et les E-commerces. 

À partir du 14 septembre l’implantation de la PSD2 sera obligatoire et va généraliser le paiement à double facteur (3DSecure). Actuellement, il est seulement utilisé dans 16% des transactions en ligne. C’est à dire qu’à peine un sixième des e-commerces l’ont installé et l’utilisent.

 

2.1. Comment cela va-t-il affecter les magasins en ligne?

  • Il existe un risque important d’abandon des paniers et une baisse des conversions des achats lorsque l’on ajoute une étape supplémentaire dans la passerelle de paiement. Dans le secteur des E-commerces cela se traduit par une baisse des ventes comprise entre 4% et 5% et pouvant aller jusqu’à 15% de perte sur le chiffre d’affaire. Il faut cependant mitiger ces informations et informer les acheteurs du fonctionnement de la nouvelle directive pour minimiser les risques sur les marchands et en anticipant tous les problèmes qui peuvent survenir.
  • Transactions rejetés: Si la configuration n’est pas optimisée et les informations sont insuffisantes, la banque peut rejeter les paiements en les analysant comme non sûr. Pour l’éviter, il faut transmettre le maximum d’information du client à notre banque émettrice.

 

2.2. Comment peut-on minimiser l’impact de cette normative sur l’E-commerce?

  • Pour minimiser l’impact, les E-commerces doivent se procurer le plus d’information possible sur les acheteurs. Ces informations sont essentielles lors d’une transaction normale mais elles peuvent être frauduleuses. Pour y remédier, il est nécessaire d’obtenir le plus d’information possible, lesquelles seront envoyés à la banque qui pourra à son tour identifier l’E-commerce comme commerce de confiance.
  • Il est possible d’utiliser un mode de paiement qui n’exige pas le 3DSecure comme le virement bancaire.
  • Faire que les consommateurs continuent de profiter d’une expérience d’achat facile avec une sécurité additionnelle pour les achats plus important et moins fréquent. Sur ce point nous pouvons le réaliser au moyen de:

    – Souscriptions ou transactions récurrentes: Le 3DSecure est exigé seulement au premier paiement.
    – Transactions internationales: Les transactions réalisées hors de l’UE. Cela dépend d’où est émise la carte bancaire.
    – Transactions MO/TO (Mail Order/Telephone Order): Elles s’utilisent pour réaliser des paiements par téléphone.
    – Comme il est nécessaire d’utiliser une autre personne/machine pour introduire le numéro de carte, l’authentification 3DSecure ne peut pas fonctionner.
    – Carte bancaire corporative.
    – Paiements inférieure à 30€.
    – Transactions à faible risques.
  • S’assurer que le reste du processus d’achat ne va pas être motif de rejet pour l’acheteur. Comme une page de paiement non responsive, une traduction qui ne correspond pas à celle du client.

 

2.3. Comment implanter la PSD2?

  • La première étape consiste à activer le 3DS avant le 14 septembre. Pour cela, les marchands doivent parler avec l’entité bancaire qui liquide les fonds de transactions traités avec MASTERCARD et VISA. Le marchand doit contacter la banque qui gère les paiements de l’E-commerce et lui dire qu’il à besoin d’activer le 3DS dans son magasin. Cette activation peut avoir un coût selon la banque utilisé.
  • Activer des moyens de paiement  alternatifs.
  • Installer des outils de prévention de fraude pour diminuer le risque d’envoi de paiement frauduleux à la banque émettrice. Beaucoup de passerelles de paiements incorpore déjà des outils de préventions de fraudes. S’informer auprès de sa passerelle car beaucoup d’entre elles offre ce service gratuitement.

 

Pourquoi est-ce si important un outil de prévention de fraude?

 Parce que les outils de vérification et de prévention de fraude aident à contraster les données recommandées et optionnelles depuis la web quand un client réalise un achat.

Un commerce électronique peut décider d’envoyer ou non une transaction à la banque afin de diminuer son ratio de fraude, grâce aux outils précédemment cités. La finalité est d’être reconnu par la banque comme un magasin de confiance en envoyant de “bonnes transactions”

  • Envoyer des données SCA à travers l’intégration. Un commerce doit s’assurer que son fournisseur de paiement peut accepter le plus grand nombre de données pour envoyer à son tour ces informations à la banque émettrice et éviter le 3DS.

Types de données SCA:

  • Données SCA obligatoires: Metadata du navigateur. Si un commerce n’envoi pas cette information, la transaction ne se réalise pas.
  • Données SCA recommandées: Données du titulaire de la carte (emails, numéro de téléphone, adresses IP, adresses d’achat,  et informer si la transaction est de risque faible, moyen ou élevé.
  • Données SCA optionnelles: Indicateur de l’âge du compte bancaire, nombre d’essai d’un achat par jours, cas de fraude connus, indicateur de changement d’adresse, etc.

2.3.1 Comment envoyer ces données SCA aux banques émettrices?

Une fois que nous avons activé le 3DS avec notre banque émettrice, l’étape suivante consiste à configurer notre commerce électronique pour envoyer les données à la banque émettrice. Normalement, si vous utilisez une passerelle comme STRIPE, Paypal ou Ingenico, ce transfert d’information se fera de manière automatique grâce aux APIs de ces plateformes. 

Si le commerce électronique possède une équipe de développement informatique et n’utilise pas de plateforme adaptée à la nouvelle loi PSD2: Normalement il abrite les champs de données dans son propre serveur et devra changer le protocole pour inclure les nouveaux champs obligatoire car c’est le propre commerce qui récupère les données SCA et les envoi au fournisseur. 

Il se peut aussi que dans certain cas, le commerce ne possède pas d’équipe informatique parce qu’il utilise des gestionnaires de contenu comme Prestashop, Magento ou des Plugins Woocomerce, et qu’il n’utilisent pas de passerelles de paiements adaptées. Dans ce cas, les modules des paniers d’achat qui n’offre pas de plugins de plateformes en ligne doivent récupérer de manière automatique les SCA selon la plateforme E-commerce utilisée. Nous vous recommandons dans ce cas de réaliser une consultation auprès des développeurs de votre gestionnaire de contenu pour leur demander si ils ont réalisé l’intégration pertinente. 

 

2.4.  Comment pouvons-nous améliorer la conversion dans un magasin?

  • Nous devons éviter le 3DS quand c’est possible. C’est à dire, solliciter le 3DS seulement quand c’est nécessaire, en facilitant la plus grande quantité d’information  des SCA pour aider la prise de décision à la banque émettrice.
  • Obtenir une réputation de commerce de confiance envers la banque émettrice et essayer d’entrer dans la liste blanche des banques.
  • Avoir les niveaux de fraude faible pour rentrer dans les schémas de confiance des carte bancaire (Visa, Mastercard, American Express, etc..). Chacun possède un niveau d’acceptation propre qui s’élève normalement à 0,5%.