E-commerce et mode de paiement - DSP2 : Que risquez-vous ?

En tant qu’e-commerçant, vous en avez certainement entendu parler : à partir du 14 septembre 2019, les dispositions de la directive européenne sur les services de paiement, dite « DSP2 », seront applicables. Ces dispositions ont été transposées en droit français dans le Code monétaire et financier et concernent « l’authentification forte du client ».
DSP2

Qu’est-ce que l’authentification forte ?

Lorsqu'un utilisateur effectue une opération de paiement en ligne, il est nécessaire de s'assurer qu’il est autorisé à le faire.

Il faut, en effet, être en mesure d'éviter qu’une personne qui accéderait aux données de connexion d’une autre personne, sans y être autorisée, puisse effectuer des achats via ce compte sans entrave.

Ceci est en tous cas possible lorsque seulement un facteur est nécessaire pour s'identifier, si vos clients peuvent, par exemple, payer en saisissant simplement leurs identifiants (nom d'utilisateur et mot de passe).

L'authentification forte, également appelée authentification à double facteur, devrait empêcher cela en demandant un deuxième facteur d'identification à l’acheteur avant de passer une commande.

Il peut s'agir d'un code PIN que le client reçoit sur son téléphone portable et doit saisir sur votre site pour valider son achat.

  Cela rendra l'utilisation abusive des données clients beaucoup plus difficile pour les personnes non autorisées.

Dans notre exemple, il faudrait également être en possession du téléphone portable du client pour pouvoir déclencher le processus de paiement.

Conformément à la directive PSD2, l'authentification forte des clients existe dès que l'authentification est effectuée en utilisant au moins deux des trois éléments suivants :

  • Connaissance (quelque chose que seul l'utilisateur connaît – ex. : mot de passe, code PIN…)

  • Possession (quelque chose que seul l'utilisateur possède – ex. : numéro de téléphone, adresse e-mail…)

  • Inhérence (quelque chose que l'utilisateur est – ex. : une empreinte digitale)

Les éléments doivent être indépendants les uns des autres en ce sens que, si l’un est compromis, la fiabilité des deux autres n’est pas remise en question.

Ainsi, dans notre exemple, si votre client se fait voler ses identifiants (élément de connaissance que normalement seul votre client connaît et qui est compromis), il ne sera pas possible pour le voleur de procéder à des achats.

En effet, l’élément de possession (le téléphone portable) en est indépendant et est donc encore fiable.

L’authentification à double facteur signifie donc qu'au moins deux facteurs sur trois doivent être présents pour qu'une commande en ligne puisse être exécutée (d’où son nom).

Tout savoir sur l'e-commerce ? Trusted Shops s'est associé à HubSpot pour vous proposer un livre blanc complet et gratuit, cliquez sur la bannière ci-dessous : 
guide complet de l'ecommerce

La nouveauté : l’authentification forte est désormais obligatoire pour les achats en ligne

Jusque-là, les e-commerçants pouvaient déterminer eux-mêmes le niveau des mesures de sécurité pour un mode de paiement.

Quels sont les modes de paiement concernés ?

Une authentification forte du client est requise si votre client initie une transaction de paiement par voie électronique sur son compte de paiement en ligne.

  Il s'agit en première ligne du paiement par carte de crédit.

Pour un paiement via PayPal, Amazon Pay, Apple Pay, Google Pay, etc. cela dépend de la façon dont la transaction est traitée par les services respectifs.

Si les services ont recours à la carte de crédit, une authentification forte est requise.

Par contre, si la transaction est effectuée par prélèvement automatique, paiement anticipé ou facture, l' authentification à double facteur n'est pas nécessaire.

Y a-t-il des exceptions aux nouvelles règles ?

Oui, les utilisateurs peuvent, par exemple, créer leurs propres listes blanches dans l'online banking avec des destinataires de paiements dignes de confiance.

Une authentification forte n'est donc pas nécessaire pour ces derniers.

En outre, une transaction de paiement en ligne de moins de 30 euros n'a pas besoin d'être sécurisée par une authentification à double facteur, à condition que le montant total et le nombre de transactions depuis la dernière authentification se situent dans une certaine fourchette.

Quelles sont les conséquences si vous ne respectez pas ces obligations ?

Sauf si votre client agit frauduleusement, il ne pourrait supporter aucune conséquence financière si une opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n'exige une authentification forte du payeur.

Concrètement, cela signifie que si quelqu’un se fait passer pour votre client pour faire un achat sur votre boutique en ligne, que le paiement est accepté et qu’il n’y a pas d’authentification forte mise en place pour ce mode de paiement sur votre site, l’institut bancaire lui remboursera les sommes indûment débitées et exigera le remboursement de ces sommes de votre part ou de celle de votre prestataire de service de paiement.

Pour conclure - Notre conseil

Vous devriez vérifier si les prestataires de services de paiement auxquels vous faites appel seront conformes à l'authentification forte.

Cette obligation vaut à partir du 14 septembre 2019, veillez donc à le faire le plus rapidement possible si ce n’est pas déjà fait.

En règle générale, les e-commerçants eux-mêmes ne pourront pas apporter de modifications à leur boutique, car la mise en œuvre relève de la responsabilité des prestataires de services de paiement.

Cependant, vous devrez probablement effectuer une mise à jour afin que l'interface entre votre boutique en ligne et le prestataire de services de paiement fonctionne correctement.

Il est donc recommandé d'entamer un dialogue avec le prestataire de services de paiement.

Contactez Trusted Shops

0 Commentaires