Paiements en ligne : une directive européenne inquiète les e-commerçants

Dans un communiqué, la fédération e-commerce et vente à distance (Fevad) critique la 2e directive européenne sur les services de paiement (DSP2), qui a en projet de contraindre les e-commerçants à systématiser l’authentification renforcée des acheteurs lors des paiements en ligne. Elle en appelle aux autorités françaises.

Votée en octobre 2015, la révision de la directive européenne sur les services de paiement (DSP2) se donne notamment pour objectif de renforcer la sécurité des transactions en Europe. Sa mise en œuvre concrète a été confiée à l’Autorité bancaire européenne (ABE) qui, en août dernier, a publié et soumis à consultation publique un projet de norme technique.

Entre autres mesures, l’ABE propose, pour les paiements effectués en ligne, d’imposer le recours à l’authentification forte dès lors que le montant de l’achat dépasse 10 euros. Un projet qui fait bondir les e-commerçants. « On imagine (…) les conséquences désastreuses que cette obligation aurait sur le taux de conversion et donc sur la performance des sites » écrit la Fevad. « Le projet [de l’ABE] menace ainsi le fragile, mais nécessaire équilibre entre sécurité et fluidité du parcours client qui est au cœur du développement du secteur de l’économie digitale, dont le e-commerce ».

Contre la généralisation de 3D Secure

L’authentification forte, dont le dispositif le plus connu est 3D Secure, permet de sécuriser les paiements en ligne en demandant à l’acheteur de renseigner, en plus de ses coordonnées de carte, un deuxième facteur d’authentification, généralement un code à usage unique reçu par SMS. La manœuvre complique toutefois l’acte de paiement, entraîne un taux d’échec important et n’est pas exempte de failles de sécurité, ce qui explique les réserves des e-commerçants face à cette généralisation imposée.

« L'authentification forte doit rester un outil de lutte contre la fraude, mis à la disposition des e-commerçants européens », poursuit la Fevad. « Son déploiement doit reposer sur une politique de responsabilisation des sites marchands, basée sur des objectifs d'efficacité dans la maîtrise de la fraude et sur la recherche des moyens les mieux adaptés pour atteindre ces objectifs. »

Privilégier l’approche « par les risques »

La fédération en appelle ainsi aux autorités françaises, sans plus de précisions, pour « intervenir dans les arbitrages relatifs à la rédaction finale de ce texte notamment auprès de la Commission européenne et de l’ABE (…) » et promouvoir une « approche mixte (dite par les risques) », qui consiste à n’utiliser l’authentification renforcée que pour les paiements jugés risqués.

La Fevad demande également une « véritable concertation entre l’ABE, la Commission européenne, les e-commerçants, les banques et les fournisseurs de moyens de paiement afin de définir les conditions permettant de servir les intérêts de la lutte contre la cybercriminalité, sans remettre en cause le formidable potentiel de développement de l'activité. »