Commencez à vendre avec Shopify dès aujourd’hui

Commencez dès aujourd’hui votre essai gratuit avec Shopify, puis utilisez ces ressources pour vous guider à chaque étape du processus.

Démarrer un essai gratuitEn savoir plus
blog|E-commerce

Directive DSP2 : tout comprendre sur l’authentification forte du client

Qu’est-ce que la DSP2 ? Que signifie-t-elle pour les e-commerçants ? Comment se mettre en conformité ? Découvrez tout ce qu’il faut savoir sur la DSP2.

par
Dernière mise à jour
illustration représentant une transaction en ligne sécurisée

Avec l’essor des achats en ligne, la sécurité des paiements est devenue une priorité à la fois pour les consommateurs et les e-commerçants.

Si vous vendez dans l’Espace économique européen (EEE), vous avez peut-être déjà entendu parler de la 2e Directive européenne sur les Services de Paiement, plus connue sous le sigle DSP2. Cette directive, en vigueur dans l’Union européenne depuis le 13 janvier 2018, vise à renforcer la sécurité des paiements en ligne, à accroître la transparence et à protéger les consommateurs.

Pour les e-commerçants, cette réglementation introduit plusieurs obligations. Quelles sont-elles ? Comment s’y conformer ? Vous trouverez toutes les réponses dans cet article.

Qu'est-ce que la DSP2 ?

La DSP2 est une législation européenne qui restructure le marché des paiements pour garantir une meilleure protection des consommateurs, accroître la transparence et encourager la concurrence. Elle fait suite à une première directive, la DSP1, mais introduit des règles plus strictes en matière de sécurité, notamment pour les paiements en ligne.

L’objectif de la DSP2 est double : assurer une protection optimale des utilisateurs face aux risques de fraude, d’une part, et ouvrir le marché des paiements à de nouveaux acteurs, comme les fintechs, afin de stimuler l'innovation, d’autre part.

Pour les e-commerçants, la DSP2 impacte surtout les transactions en ligne, car elle impose des normes de sécurité plus élevées qui influent directement sur le parcours d'achat du client.

Vous connaissez probablement déjà le 3D Secure (3DS), un protocole de sécurité développé par Visa et Mastercard pour authentifier les paiements en ligne. Pour répondre aux exigences de la DSP2, le 3D Secure a évolué en 3D Secure 2.

Quelles obligations la DSP2 introduit-elle ?

Pour se conformer à la DSP2, les banques, les prestataires de services de paiement (PSP) et les e-commerçants doivent respecter plusieurs obligations.

1. Obligation d’authentification forte (SCA)

L’authentification forte (ou SCA, pour Strong Customer Authentication) est au cœur des nouvelles exigences de la DSP2. Cette mesure vise à garantir que le client est bien l’auteur de la transaction, en imposant une validation reposant sur deux des trois éléments suivants :

  • Quelque chose que le client connaît, comme un mot de passe ou un code confidentiel.
  • Quelque chose que le client possède, comme un téléphone ou une montre connectée.
  • Quelque chose que le client est, comme une empreinte digitale ou la reconnaissance faciale.

Par exemple, un client pourrait être invité à valider une transaction via un code reçu par SMS sur son téléphone (quelque chose qu’il possède) et à confirmer son identité avec son empreinte digitale (quelque chose qu’il est) en utilisant le capteur de son smartphone. Cette double authentification minimise les risques de transactions frauduleuses.

Si l’authentification forte s’applique à la majorité des paiements, la DSP2 prévoit certaines exemptions pour limiter les frictions, notamment :

  • les transactions de moins de 30 euros ;
  • les paiements récurrents (abonnements) ;
  • les paiements effectués chez un e-commerçant que le client a désigné comme un “bénéficiaire de confiance”.

2. Sécurisation des transactions et protection contre la fraude

En plus de l'authentification forte, la DSP2 définit les responsabilités de chaque acteur en cas de fraude. Les prestataires de services de paiement (PSP) doivent assurer la sécurité des données et, en cas de fraude avérée malgré les protocoles SCA, ils sont responsables du remboursement des utilisateurs.

Autrement dit, si une transaction a fait l’objet d’une authentification forte et qu’elle est ensuite contestée comme étant frauduleuse, vous ne serez pas tenu responsable et vous n'en assumerez pas le coût.

Il revient donc aux e-commerçants de s’assurer que leurs PSP sont conformes à la DSP2.

3. Interconnexion avec des prestataires tiers grâce à l’open banking

La DSP2 favorise l’open banking, permettant aux fintechs et autres prestataires tiers d’accéder aux données bancaires des clients pour délivrer des services alternatifs. Elle offre donc aux e-commerçants la possibilité de proposer des méthodes de paiement innovantes, comme les virements bancaires instantanés, ce qui peut simplifier le parcours client et réduire les frais de transaction par rapport aux paiements par carte.

Lecture conseillée : créez une boutique en ligne en 10 étapes

Que signifie la DSP2 pour les marchands Shopify ?

Si vous utilisez Shopify Payments pour traiter les paiements par carte en Allemagne, au Danemark, en Irlande, aux Pays-Bas, en Autriche, en Belgique, en Suède, en Espagne ou au Royaume-Uni, vous respectez déjà les exigences de la DSP2. Vous n’avez donc rien à faire.

Si vous utilisez Stripe pour traiter les paiements par carte, vous êtes également en conformité avec la DSP2 et vous n’avez donc rien à faire.

Les méthodes de paiement locales, comme iDeal et Klarna, ainsi que les portefeuilles numériques, comme Google Pay et Apple Pay, respectent eux aussi la réglementation. Là encore, vous n’avez donc rien à faire.

Ce n’est pas forcément le cas si vous utilisez une passerelle de paiement tierce. C’est pourquoi nous vous recommandons d'utiliser une passerelle approuvée par Shopify et de la connecter à Cardinal Commerce pour implémenter la SCA en toute simplicité. Pour ce faire, créez un compte Cardinal, puis saisissez vos informations d’identification Cardinal dans les paramètres de paiement de votre interface administrateur Shopify.

Lire la suite

FAQ sur la directive DSP2

Qui est concerné par la directive DSP2 ?

La 2e Directive européenne sur les Services de Paiement (DSP2) concerne principalement les banques et les prestataires de services de paiement (PSP), mais aussi les e-commerçants, qui ont l'obligation d'intégrer l'authentification forte des clients (SCA) afin de protéger les transactions contre la fraude. Cette directive s’applique à tous les paiements électroniques réalisés au sein de l’UE et de l’EEE.

Que signifie la DSP2 pour les e-commerçants ?

La DSP2 introduit l’obligation d’authentification forte du client (SCA) pour sécuriser les paiements en ligne. Elle impose une vérification en deux étapes pour vérifier l’identité du client, s’assurer qu’il est bien l’auteur de la transaction et minimiser les risques de fraude.

Quel est l'impact de la DSP2 pour les banques et les clients ?

Bien que jugée contraignante pour les banques, la mise en place de la directive DSP2 est une bonne nouvelle pour les clients comme pour les e-commerçants, puisqu’elle réduit les risques de fraude.

par
Dernière mise à jour
Partager l’article
articles populaires
subscription banner
Tenez-vous au courant des dernières nouveautés de Shopify

Abonnez-vous à notre blog et bénéficiez de conseils e-commerce, de sources d’inspiration et de ressources, directement dans votre boîte de réception.

Désabonnez-vous à tout moment. En saisissant votre e-mail, vous acceptez de recevoir des e-mails de marketing de la part de Shopify.

Vendez partout avec Shopify

Formez-vous lorsque vous êtes en déplacement. Essayez Shopify gratuitement, et découvrez tous les outils dont vous avez besoin pour lancer, gérer et développer votre activité.

Démarrer un essai gratuit

Essayez Shopify gratuitement, aucune carte de crédit requise.