Centre d'Assistance
Accueil Sites Web et boutiques

Commerçants en ligne et nouvelle directive sur l'authentification forte des clients (DSP2)

Les informations suivantes constituent simplement des indications et ne remplacent en aucun cas un avis juridique officiel. L'article ne prétend pas être exhaustif.

La nouvelle directive PSD2 sur l'authentification forte des clients m'affecte-t-elle en tant que commerçant ?

Les nouvelles normes de la directive sur les services de paiement (DSP2) ont été définies par l'Autorité Bancaire Européenne et tous les exploitants de magasins européens sont tenus d'assurer une meilleure authentification des clients pour les achats en ligne.

Des exigences rigoureuses en matière d'authentification forte du client (en anglais " Strong-Customer-Authentification, SCA") sont conçues pour accroître la sécurité des paiements électroniques et se protéger contre la fraude en ligne.

Vous êtes concerné si vous offrez des méthodes de paiement impliquant une carte bancaire. Il peut également s'agir de services dits d'initiation au paiement tels que PayPal, Amazon Pay, etc., utilisant la carte du client comme base de paiement.
Ne sont pas concernés les paiements par domiciliation, facture ou virement bancaire.

Quand est-ce que la nouvelle directive entrera en vigueur ?

La date officielle d'entrée en vigueur de la nouvelle directive DSP2 est le 14 septembre 2019, mais l'autorité de surveillance financière peut accorder une période transitoire selon les cas. Cela donne à penser que le système d'authentification forte des clients sera mis en place de façon progressive.

Que dois-je faire en tant que propriétaire d'une boutique en ligne IONOS ou d'une boutique MyWebsite ?

Il est de votre devoir de vous assurer que les méthodes de paiement que vous utilisez sont conformes à la norme PSD2, prenant en charge une authentification client forte et ne facturant pas de frais supplémentaires pour les paiements.

Vous n'avez pas besoin d'adapter quoi que ce soit dans votre boutique en ligne si vous offrez les méthodes de paiement suivantes à vos clients et ne facturez pas de frais supplémentaires pour les paiements :

  • PayPal
  • Mollie
  • Stripe
  • Square
  • Amazon Pay
  • Skrill
  • Ingenico

En tant qu'exploitant de magasin, toutefois, vous devez toujours vérifier les modes de paiement que vous avez fournis. Si vous proposez d'autres méthodes de paiement, par exemple pour accepter les paiements par carte de crédit ou les virements bancaires en ligne (par exemple authorize.net, 2checkout), veuillez contacter directement l'assistance du fournisseur pour vous assurer de la conformité avec l'authentification client forte. Il se peut que vous deviez apporter des modifications.

Vous ne pouvez pas facturer de frais supplémentaires lors du paiement. Dans le cadre de la DSP2, il n'est plus autorisé de facturer des coûts supplémentaires pour un paiement (surtaxes, suppléments, frais supplémentaires). Ceci s'applique aux cartes Visa et Mastercard (à l'exception des cartes commerciales et des cartes d'entreprise) ainsi qu'aux virements et domiciliations bancaires standard. Ceci est indépendant du mode de paiement choisi. Veuillez vérifier si vous facturez des frais supplémentaires pour un mode de paiement.

Quels changements pour mes clients ?

Si les clients utilisent une méthode de paiement lors de leurs achats sur Internet qui nécessite une authentification forte, ils doivent choisir une combinaison d'au moins deux méthodes d'authentification de type différent à partir du moment où l'authentification forte entre en vigueur. Jusqu'à présent, cela n'était pas absolument nécessaire, souvent seul un mot de passe ou le numéro de transaction correspondant était suffisant pour effectuer un paiement en ligne.

L'authentification à deux facteurs n'est pas une nouvelle procédure en soi - ce qui est nouveau, c'est que, dans le cadre de la nouvelle directive, son utilisation est obligatoire pour tous les paiements électroniques.

Dans le cadre du processus de paiement, le fournisseur de paiement utilisé va demander au client d'effectuer une authentification client forte. Cette demande a lieu sur une interface gérée par le prestataire de paiement (par exemple un site Web ou une fenêtre pop-up, etc.).

Comment fonctionne l'authentification forte ?

Dans le cadre d'un achat, le client charge un prestataire de paiement d'initier un virement aux frais de son compte de paiement tenu auprès d'un autre établissement de paiement (par exemple, établissement de crédit, banque, caisse d'épargne).

L'authentification forte du client a recours à deux facteurs pour vérifier si l'acheteur est le propriétaire du mode de paiement (par exemple, le détenteur de la carte bancaire). Ces facteurs sont divisés en trois catégories. En règle générale, les deux facteurs utilisés doivent provenir de catégories différentes.

Les catégories habituelles en ce moment sont :

  • Connaissance : Il peut s'agir d'un mot de passe ou d'un numéro de transaction.
  • Possession : Par exemple, une carte bancaire ou un smartphone.
  • Inhérence (caractéristiques ou comportement) : Il s'agit notamment des empreintes digitales, de la reconnaissance faciale ou des mouvements ou modèles de mouvement.

Les catégories utilisées et la méthode dépendent de l'institution bancaire du client. Ceci ne peut pas être influencé par le propriétaire du magasin.

Un exemple : La procédure souvent utilisée dans le passé pour sécuriser le numéro de carte bancaire avec le code de sécurité au dos de la carte ne correspond pas à l'exigence d'authentification forte. En effet, le numéro de carte et le chiffre de contrôle appartiennent tous deux à la catégorie de possession. À la place, en plus du numéro de carte, un mot de passe, un code PIN ou une empreinte digitale devrait être utilisé(e), car ces facteurs font partie de la catégorie connaissance ou inhérence, différente de la catégorie connaissance.

Y a-t-il des exceptions ?

Il existe plusieurs exceptions où une authentification client forte n'est pas requise. Les exceptions les plus importantes et les plus communes sont les suivantes :

Montant de l'achat inférieur à 30 euros

Dans un tel cas, l'établissement de paiement n'est pas tenu d'exiger une authentification, mais il peut le faire. Si plusieurs achats dans un court laps de temps s'élèvent à plus de 150 euros pour de petits montants, cette exception ne s'applique pas et l'authentification forte du client est à nouveau nécessaire.

En outre, le contrôle doit également avoir lieu après cinq achats sans authentification forte, par exemple si un client effectue plusieurs achats pour de petits montants.

Classification des risques par établissement de paiement

En raison du comportement de paiement au fil du temps, l'établissement de paiement du client peut estimer le potentiel de risque et donc classer une transaction comme sans risque. Dans ce cas, l'établissement de paiement peut également renoncer à l'authentification forte des clients.

Paiements réguliers et abonnements

Si des abonnements sont conclus ou si des paiements réguliers sont effectués, l'établissement de paiement peut également renoncer à une authentification forte supplémentaire dès que le premier paiement avec authentification forte du client a été effectué.

Classement manuel de la boutique en ligne comme étant digne de confiance

Les établissements de paiement peuvent proposer à leurs clients de classer eux-mêmes des boutiques en ligne ou des commerçants  comme "dignes de confiance2. Cela permet aux clients de déposer une liste de prestataires auprès de leur établissement de paiement, pour lesquels ils n'ont pas besoin d'une authentification client forte. Cette règle n'est pas obligatoire et tous les établissements de paiement ne sont pas tenus de propooser une telle liste blanche à leurs clients.

Contenu