La sécurisation des paiements imposée par l’Union Européenne : une menace pour le e-commerce ?[1]
Indiscutablement, les paiements sur internet sont au cœur des préoccupations des régulateurs européens. En effet, alors que ce type de paiement ne cesse de croitre[2] poussé notamment par la croissance du e-commerce, il est aussi celui qui connaît le plus important taux de fraude[3]. Ce constat n’est pas nouveau, d’ailleurs les régulateurs depuis plusieurs années surveillent attentivement les évolutions des paiements à distance et imposent de plus en plus de mesures visant à réduire le taux de fraude. En 2014 déjà, l’ABE (Autorité Bancaire Européenne) publiait des orientations sur la sécurité des paiements sur internet. Ces orientations constituaient une première étape vers une authentification forte[4] ayant comme vocation d’être généralisée et précisée, par la Directive sur les services de paiements 2[5].
Même si l’authentification forte semble être un rempart contre la fraude dans le monde du e-commerce, elle n’est pourtant pas systématique. Ainsi selon la Fevad[6], seulement 66%[7] des e-commerçants sont équipés d’un dispositif d’authentification forte, qui se fait majoritairement via le système « 3DSecure ». Actuellement les systèmes d’authentification forte proposés par les banques des e-commerçants laissent le choix à ces derniers d’appliquer ou non une authentification forte selon leur propre analyse de risque. Un choix qui semble nécessaire au vu de l’impact du 3DSecure sur le parcours d’achat, puisque le taux d’abandon lors d’un achat est bien plus élevé lorsque ce mécanisme est enclenché[8]. Les effets du SMS sur la fluidité du parcours client explique cette réticence (obligation d’avoir son mobile à portée de main, obligation d’avoir enrôlé son mobile au préalable auprès de sa banque, indisponibilité du réseau téléphonique, etc.).
Alors que les dispositifs d’authentification forte (via 3DSecure notamment) ne sont jusqu’à présent que des outils qui permettent aux e-commerçants de gérer leurs risques et taux de fraude, il semblerait que ceux-ci deviennent obligatoires d’ici 2018. Du moins si l’on en croit la dernière version des RTS (Regulatory Technical Standards) sur l’authentification forte en cours de finalisation par l’ABE.
Encadré par la DSP2[9], l’objectif de ces RTS est de préciser entre autres les exigences relatives à l’authentification forte et les cas d’exemption possibles à cette authentification. En effet, la DSP2 impose une authentification forte, lorsque le payeur initie une opération de paiement électronique[10], mais elle prévoit également des cas d’exemption à cette obligation d’authentification forte, exemptions qui ont été précisées dans le dernier document de l’ABE sur le sujet[11] . En ce qui concerne les paiements sur sites e-commerce, la seule dérogation possible identifiée concerne les opérations de paiement dont le montant est inférieur à 10€ (dans la limite d’un cumul de 100€).
L’ABE exclut purement et simplement la possibilité d’exemption à l’authentification forte fondée sur la base d’une analyse de risques (qu’elle soit effectuée par la banque du porteur, la banque du e-commerçant ou l’e-commerçant lui-même). Elle précise d’ailleurs que le recours à ce type d’exemption viendrait en contradiction avec certains objectifs poursuivis par la DSP2 et notamment la protection des fonds des clients[12]. La directive dispose également que les banques réalisant l’acquisition pour les e-commerçants seront dans l’obligation d’imposer à ces derniers un dispositif d’authentification forte sans débrayage possible, afin que les banques des acheteurs[13] puissent déclencher les mécanismes permettant l’authentification forte (dès dépassement d’un montant de 10€)[14].
L’impact est donc considérable et pas seulement pour les e-commerçants. Cette obligation impactera aussi les établissements de crédit[15] dans leurs services de banque à distance[16]. L’EPC (European Payment Council)[17] a fait part de sa réponse au Consultation Paper[18] et conteste radicalement la décision de l’ABE de ne pas permettre d’exemption à l’authentification forte sur la base d’une analyse de risques. Sur le plan juridique, l’EPC affirme d’ailleurs qu’en excluant la RBA (Risk Based Analysis), l’ABE dépasserait son mandat.
La même position a été prise par la FEVAD qui a également répondu à cette consultation pour défendre les intérêts des e-commerçants[19].
L’enjeu est de taille ! En effet, certains e-commerçants grâce à leur expertise et connaissance client ont développé des dispositifs de sécurité performant leur permettant de se vanter d’un taux de fraude bien inférieur à la moyenne, sans pour autant appliquer une authentification forte. Ils ont également su développer des usages de paiement « friendly » tel que le « one-click » dont la pérennité est fortement remise en cause avec la DSP2.
Ces réponses au Consultation Paper et les éventuels lobbyings suffiront-ils pour faire fléchir l’ABE et provoquer une modification des RTS ? La version finale du texte de l’ABE sera rendue publique en Janvier 2017, et devra être validée par la suite par la commission européenne et le parlement européen. Dans le meilleur des cas, ces RTS entreraient en vigueur en Octobre 2018.
Quel que soit le contenu de ce texte, les banques et les e-commerçants devront à minima revoir l’organisation de leur dispositif de sécurité et « dans le pire des cas » le refondre complètement[20].
[1] Chronique écrite en collaboration avec Bruno Joanides (http://www.journaldunet.com/account/bruno-joanides-1110).
[2] +850 000 acheteurs sur le canal de la vente à distance en un an (source : Fevad – http://newspaper.fevad.com/wp-content/uploads/2016/09/Plaquette-Chiffres…).
[3] En 2015, 0,228% contre 0,009% pour les paiements de proximité et sur automate (source : rapport annuel 2015 de l’observatoire de la sécurité des cartes de paiement).
[4] Pour faire simple, il s’agit d’une authentification basée sur 2 des 3 éléments suivants : la possession, la connaissance et l’inhérence.
[5] Publiée fin 2015.
[6] Fédération du e-commerce et de la vente à distance.
[8] A titre d’exemple, selon un sondage effectué par Ingenico ePayments dans le secteur du voyage en ligne, le recours au 3DSecure augmenterait de 10% le taux d’abandon (selon 61% des sondés).
[9] Article 97 3) de la DSP2.
[10] Mais aussi lorsque le payeur accède à son compte de paiement en ligne ou lorsqu’il exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude (hors scope e-commerce).
[11] Consultation Paper on the draft RTS specifying the requirement on strong customer authentication and common and secure communication under PSD2.
[12] Cf. Consultation paper on Strong Customer Authentication (5.1 E Assessment and preferred options).
[13] Porteur de la carte de paiement.
[14] Considérant 19 b) du Consultation Paper on Strong Customer Authentication.
[15] Et les établissements de paiement et de monnaie électronique.
[16] Pour rappel, une authentification forte sera également nécessaire lorsque le client accèdera à son compte en ligne (sauf exemptions prévues dans les RTS).
[17] Représentant des prestataires de services de paiement européens.
[19] The Merchant Risk Council représentant des e-commerçants et professionnels du paiement européens à également répondu à cette consultation : https://www.merchantriskcouncil.org/news-and-press/news/2016/european-pa….
[20] Bien que des solutions d’authentification forte basées sur la biométrie (critère d’inhérence) voient le jour, et pourraient être peu impactantes pour les e-commerçants (exemple : la solution talk to pay de la Banque Postale).