Avec l’essor des achats en ligne, la sécurité des paiements est devenue une priorité à la fois pour les consommateurs et les e-commerçants.
Si vous vendez dans l’Espace économique européen (EEE), vous avez peut-être déjà entendu parler de la 2e Directive européenne sur les Services de Paiement, plus connue sous le sigle DSP2. Cette directive, en vigueur dans l’Union européenne depuis le 13 janvier 2018, vise à renforcer la sécurité des paiements en ligne, à accroître la transparence et à protéger les consommateurs.
Pour les e-commerçants, cette réglementation introduit plusieurs obligations. Quelles sont-elles ? Comment s’y conformer ? Vous trouverez toutes les réponses dans cet article.
Qu'est-ce que la DSP2 ?
La DSP2 est une législation européenne qui restructure le marché des paiements pour garantir une meilleure protection des consommateurs, accroître la transparence et encourager la concurrence. Elle fait suite à une première directive, la DSP1, mais introduit des règles plus strictes en matière de sécurité, notamment pour les paiements en ligne.
L’objectif de la DSP2 est double : assurer une protection optimale des utilisateurs face aux risques de fraude, d’une part, et ouvrir le marché des paiements à de nouveaux acteurs, comme les fintechs, afin de stimuler l'innovation, d’autre part.
Pour les e-commerçants, la DSP2 impacte surtout les transactions en ligne, car elle impose des normes de sécurité plus élevées qui influent directement sur le parcours d'achat du client.
Vous connaissez probablement déjà le 3D Secure (3DS), un protocole de sécurité développé par Visa et Mastercard pour authentifier les paiements en ligne. Pour répondre aux exigences de la DSP2, le 3D Secure a évolué en 3D Secure 2.
Quelles obligations la DSP2 introduit-elle ?
Pour se conformer à la DSP2, les banques, les prestataires de services de paiement (PSP) et les e-commerçants doivent respecter plusieurs obligations.
1. Obligation d’authentification forte (SCA)
L’authentification forte (ou SCA, pour Strong Customer Authentication) est au cœur des nouvelles exigences de la DSP2. Cette mesure vise à garantir que le client est bien l’auteur de la transaction, en imposant une validation reposant sur deux des trois éléments suivants :
- Quelque chose que le client connaît, comme un mot de passe ou un code confidentiel.
- Quelque chose que le client possède, comme un téléphone ou une montre connectée.
- Quelque chose que le client est, comme une empreinte digitale ou la reconnaissance faciale.
Par exemple, un client pourrait être invité à valider une transaction via un code reçu par SMS sur son téléphone (quelque chose qu’il possède) et à confirmer son identité avec son empreinte digitale (quelque chose qu’il est) en utilisant le capteur de son smartphone. Cette double authentification minimise les risques de transactions frauduleuses.
Si l’authentification forte s’applique à la majorité des paiements, la DSP2 prévoit certaines exemptions pour limiter les frictions, notamment :
- les transactions de moins de 30 euros ;
- les paiements récurrents (abonnements) ;
- les paiements effectués chez un e-commerçant que le client a désigné comme un “bénéficiaire de confiance”.
2. Sécurisation des transactions et protection contre la fraude
En plus de l'authentification forte, la DSP2 définit les responsabilités de chaque acteur en cas de fraude. Les prestataires de services de paiement (PSP) doivent assurer la sécurité des données et, en cas de fraude avérée malgré les protocoles SCA, ils sont responsables du remboursement des utilisateurs.
Autrement dit, si une transaction a fait l’objet d’une authentification forte et qu’elle est ensuite contestée comme étant frauduleuse, vous ne serez pas tenu responsable et vous n'en assumerez pas le coût.
Il revient donc aux e-commerçants de s’assurer que leurs PSP sont conformes à la DSP2.
3. Interconnexion avec des prestataires tiers grâce à l’open banking
La DSP2 favorise l’open banking, permettant aux fintechs et autres prestataires tiers d’accéder aux données bancaires des clients pour délivrer des services alternatifs. Elle offre donc aux e-commerçants la possibilité de proposer des méthodes de paiement innovantes, comme les virements bancaires instantanés, ce qui peut simplifier le parcours client et réduire les frais de transaction par rapport aux paiements par carte.
Lecture conseillée : créez une boutique en ligne en 10 étapes
Que signifie la DSP2 pour les marchands Shopify ?
Si vous utilisez Shopify Payments pour traiter les paiements par carte en Allemagne, au Danemark, en Irlande, aux Pays-Bas, en Autriche, en Belgique, en Suède, en Espagne ou au Royaume-Uni, vous respectez déjà les exigences de la DSP2. Vous n’avez donc rien à faire.
Si vous utilisez Stripe pour traiter les paiements par carte, vous êtes également en conformité avec la DSP2 et vous n’avez donc rien à faire.
Les méthodes de paiement locales, comme iDeal et Klarna, ainsi que les portefeuilles numériques, comme Google Pay et Apple Pay, respectent eux aussi la réglementation. Là encore, vous n’avez donc rien à faire.
Ce n’est pas forcément le cas si vous utilisez une passerelle de paiement tierce. C’est pourquoi nous vous recommandons d'utiliser une passerelle approuvée par Shopify et de la connecter à Cardinal Commerce pour implémenter la SCA en toute simplicité. Pour ce faire, créez un compte Cardinal, puis saisissez vos informations d’identification Cardinal dans les paramètres de paiement de votre interface administrateur Shopify.
Lire la suite
- Comment rédiger une page à propos persuasive (+ 5 exemples et un modèle inclus)
- BFCM 2018 - Analyse de plus de 1,5 milliard de dollars de ventes
- Live View - regardez en temps réel vos visiteurs se transformer en clients
- Shopify en France - quoi de neuf en janvier 2020 ?
- Shopify Campus - participez au programme gratuit de webinaires e-commerce
- Ce qu'il faut retenir de la conférence Shopify Unite 2021 (et ce que cela signifie pour les marchands)
- Shopify en France : quoi de neuf en mai 2022 ?
- Nouveauté - Saisie automatique des adresses avec Google Autocomplete pour Shopify
FAQ sur la directive DSP2
Qui est concerné par la directive DSP2 ?
La 2e Directive européenne sur les Services de Paiement (DSP2) concerne principalement les banques et les prestataires de services de paiement (PSP), mais aussi les e-commerçants, qui ont l'obligation d'intégrer l'authentification forte des clients (SCA) afin de protéger les transactions contre la fraude. Cette directive s’applique à tous les paiements électroniques réalisés au sein de l’UE et de l’EEE.
Que signifie la DSP2 pour les e-commerçants ?
La DSP2 introduit l’obligation d’authentification forte du client (SCA) pour sécuriser les paiements en ligne. Elle impose une vérification en deux étapes pour vérifier l’identité du client, s’assurer qu’il est bien l’auteur de la transaction et minimiser les risques de fraude.
Quel est l'impact de la DSP2 pour les banques et les clients ?
Bien que jugée contraignante pour les banques, la mise en place de la directive DSP2 est une bonne nouvelle pour les clients comme pour les e-commerçants, puisqu’elle réduit les risques de fraude.