Amazon, Cdiscount, Fnac : payer en ligne avec sa CB va-t-il devenir un casse-tête ?

Trouver le meilleur compromis entre sécurité et facilité d’usage : c’est, en matière de paiements, la préoccupation première de tous les e-commerçants, les plus gros comme les plus petits. Un parcours de paiement trop complexe, et le risque de voir le client renoncer grandit ; un parcours insuffisamment sécurisé, et c’est le taux de fraude qui s’envole, et avec lui les coûts pour le commerçant.

Le bon dosage est d’autant plus complexe à trouver que les consommateurs français continuent de privilégier, pour leurs paiements en ligne, non pas des moyens de paiement nés à l’âge d’internet - PayPal par exemple - mais la « bonne vieille » carte bancaire en plastique, née dans les années 1970 dans l’univers du commerce physique, et loin d’être idéale pour payer en ligne.

Lire sur le sujet : « C'est risqué de payer en ligne ! »

Des risques de « friction »

Pour améliorer l’authentification des paiements électroniques - c’est-à-dire pour s’assurer que la personne qui paye est bien titulaire de la carte bancaire qu’elle utilise - les grands réseaux de paiement par carte bancaire, Visa et Mastercard, ont déployé dans les années 2000 un système baptisé 3-D Secure (ou 3DS) , exploité sous les noms « Verified by Visa » chez le premier et « SecureCode » chez le second.

Son principe : en plus du numéro unique de sa carte, de sa date de limite de validité et du cryptogramme à 3 chiffres inscrit au dos, on demande au consommateur de fournir un autre élément pour s’authentifier : le plus souvent, un code à 6 chiffres, à usage unique, reçu par SMS sur son mobile. C’est ce qu’on appelle « l’authentification forte ». Guetter son téléphone en attendant de valider un achat sur internet est ainsi devenu un geste du quotidien. Au passage, il y a un transfert de risque : s’il y a fraude après authentification avec 3DS, c’est la banque émettrice, celle du porteur de la carte, qui doit en assumer les conséquences, pas le commerçant qui est certain d’être payé.

Malgré cela, 3DS est loin de s’être généralisé. En 2017, 41% seulement des paiements étaient authentifiés par ce biais, selon l’Observatoire de la sécurité des moyens de paiement . La raison en est simple : l’usage de 3D Secure introduit une étape supplémentaire, une « friction » dans le processus qui, une fois sur dix environ, aboutit à l’échec de la vente. Ainsi, les commerçants préfèrent parfois prendre le risque d’une fraude plutôt que « déclencher » 3DS : l’aléa plutôt que la friction.

L’authentification forte devient la règle

Ce dilemme, toutefois, appartiendra bientôt au passé. A compter du 14 septembre prochain en effet, l’authentification forte va devenir la règle. « Le choix de déclencher ou non 3DS n’appartiendra plus au commerçant, mais à la banque du client », explique Julien Duméry. La raison tient en 4 caractères : DSP2. C’est en effet la révision de la directive européenne sur les services de paiement, adoptée en 2015 et entrée en vigueur début 2018, qui a impulsé cette évolution.

Et ce n’est pas tout : aux termes de cette DSP2, l’envoi d’un code SMS à usage unique ne suffit plus pour l’authentification forte. 3DS, dans sa version initiale 1.0, est donc obsolète, et c’est tout l’écosystème qui va devoir s’adapter. « Cela risque de créer de la friction chez les commerçants et de ruiner un partie des efforts qu’ils ont fait pour optimiser leur parcours clients », annonce Julien Duméry.

Lire aussi : Comment remplacer le code SMS pour payer en ligne ?

L’enjeu du taux de fraude

Dans ce contexte, faire son shopping en ligne va-t-il devenir un casse-tête, au risque de faire fuir les clients ? C’est en tout cas la crainte des e-commerçants français qui, dès 2016, s’étaient élevés contre la généralisation de 3-D Secure. Ils ont été en partie entendus. Par la Banque de France notamment, qui leur a offert un délai : la version 1.0 de 3DS pourra ainsi être utilisée jusqu’à la fin 2020, le temps que les banques passent toutes à la version 2.0 du protocole de sécurité, compatible avec la DSP2, en s’appuyant notamment sur la biométrie (doigt, visage, iris, voix, etc.) et l’enregistrement du mobile de confiance. D’ici là, le code SMS fera donc des heures supplémentaires.

Surtout, l’Autorité bancaire européenne (EBA), chargée de la mise en œuvre concrète de la DSP2, a prévu des exemptions, c’est-à-dire des cas de figure où l’authentification forte ne sera pas requise. Ce sera le cas par exemple pour :

• les achats de petit montant (moins de 30 euros), 5 opérations successives ou 100 euros de paiements cumulés ;
• les paiements vers un commerçant déclaré par le consommateur comme « de confiance » ;
• les paiement récurrents, etc.

Mais l’exemption pourra également être élargie à plus de paiements, à une condition : que les parties prenantes de la transaction - le commerçant, sa banque, celle du client, etc. - affichent un taux de fraude très bas. « C’est tout l’écosystème qui doit jouer le jeu », confirme Julien Duméry, de Cybersource. « Les banques, notamment, vont désormais être redevables de leur taux de fraude : plus il sera bas, plus elles pourront faire bénéficier leurs clients commerçants d’exemptions. Elles vont devoir passer du rôle d’observateur de la fraude à celui d’acteur, et inciter leurs clients commerçants à se protéger. »

Une « phase de transition »

Au final, la DSP2 est donc porteuse d’effets potentiellement vertueux pour le consommateur, qui pourrait bénéficier de parcours de paiement à la fois plus simples et plus sûrs. Avant, « il y aura une phase de transition », prévient Julien Duméry. « Il faudra un peu de temps aux banques pour capter les informations nécessaires à l’acceptation des exemptions ». En attendant, dans les premières semaines qui suivront le 14 septembre, le recours à 3-D Secure devrait être systématisé : il ne faudra pas oublier votre smartphone avant de faire vos emplettes en ligne !