Avant-propos : En accord avec l'autorité bancaire européenne, la France a obtenu un délai supplémentaire de mise en application, soit 2022 et non plus le 14 septembre 2019 comme initialement prévu.
La deuxième version de la Directive Européenne sur les Service de Paiement (DSP2) est entrée en vigueur le 14 septembre 2019. Dorénavant, les achats en ligne qui seront jugés à risque nécessiteront une authentification forte grâce à minimum deux facteurs, contre l’unique facteur prévu par la DSP1. En multipliant le nombre de facteurs d’authentification, une étape est inévitablement rajoutée à l’acte d’achat. La DSP2 risque alors de générer une augmentation du nombre d’abandons de paniers et ainsi d’avoir un impact négatif sur le taux de conversion. Pour éviter cela, des exceptions ont été prévues dans la loi, mais sont-elles suffisantes ? Cet article a pour but d’expliquer cette nouvelle réglementation, et d’ouvrir des pistes pour valoriser les étapes d’authentification dans l’acte d’achat.
1. Qu’apporte la DSP2 ?
Le principe de la loi reste le même que la DSP1 : lorsqu’un client effectue un achat en ligne, il doit prouver qu’il est bien l’auteur du paiement. Il incombe alors au marchand de transmettre à la banque des informations authentifiant l’acheteur, celle-ci approuvant alors le paiement. C’est ce qu’on appelle le processus d’authentification, un casse-tête pour beaucoup d’e-commerçants. Lors de ce processus, il appartient à l’e-commerçant d’estimer le niveau de risque de chaque transaction – avec des algorithmes intégrés à sa solution de paiement – et de transmettre l’information à la banque du client, qui confirme le risque ou le revoie à la hausse. Par rapport à la première version, la DSP2 clarifie ces échanges d’informations :
• Les échanges sont dorénavant obligatoires
• Le nombre de facteurs d’authentification est déterminé en fonction du risque
• Une liste des facteurs d’authentification possible est publiée
Le cas de l’authentification forte
Lorsque le niveau de risque d’une transaction est jugé important par le marchand ou la banque, une authentification forte (ou strong customer authentification, SCA) est désormais obligatoire. Le nombre de facteurs différents requis pour une authentification forte passe de 1 à 2, parmi les suivants :
• Une preuve via une possession du consommateur : son téléphone, par exemple, avec un code par SMS via 3D-Secure 1.0, la solution la plus répandue avant la DSP2
• Une preuve via une connaissance propre du consommateur, comme un code de sécurité ou une réponse à une question personnelle
• Une preuve inhérente au consommateur, comme une donnée biométrique via reconnaissance faciale ou empreinte digitale
Le protocole 3D-Secure 1.0 n’est donc plus suffisant, et il faudra ajouter un facteur supplémentaire au code par SMS pour authentifier l’auteur de la demande de paiement. Apparaît ici un premier risque, avec l’ajout d’une étape au 3D-S, lui-même étant déjà une source importante d’abandon de paiements.
Le cas de l’authentification frictionless
Déjà prévue dans la DSP1, l’authentification en « frictionless », pour les opérations jugées peu risquées, est renforcée par la DSP2. La norme étant l’authentification forte, certaines exceptions sont toujours prévues dans la directive, afin de classer les transactions en peu risquées :
• Les transactions inférieures à 30€, avec une somme totale limitée à 100€ et 5 paiements par jour et par carte
• Les paiements récurrents d’une somme fixe comme les abonnements Spotify, Netflix, etc.
• Les paiements en provenance d’un site sur une liste blanche du consommateur communiqué à sa banque
• Les transactions mobiles sur des App où les modalités de paiement (carte bancaire, Apple Pay…) sont pré-enregistrées
La DSP2 renforce le frictionless grâce à un meilleur échange en amont des informations clients, entre les banques et les solutions de paiement :
• Son adresse de livraison ou de facturation
• Ses données de navigation web comme son adresse IP, sa localisation…
• Ses informations de paiement
Toutes ces informations permettront aux services financiers de qualifier moins de transactions comme « à risque » et ainsi d’améliorer l’expérience client des sites marchands.
À la lecture de cette directive, se posent alors deux questions :
• Comment faciliter l’authentification frictionless pour un maximum de paiements ?
• Comment améliorer l’expérience client pour les transactions qui nécessiteront une authentification forte ?
2. Quelles actions mettre en œuvre suite à la DSP2 ?
Bien choisir sa solution de paiement pour tirer parti du frictionless
Le frictionless permet au consommateur d’être protégé des fraudes, tout en conservant une expérience d’achat fluide. Pour en bénéficier, tout e-commerçant devra alors bien s’assurer que sa solution de paiement est en conformité avec la DSP2. Paradoxalement, pour faciliter le frictionless, une solution de paiement doit avant tout proposer l’authentification forte prévue par la DSP2 – donc une authentification à 2 facteurs, et non plus 1 comme avec la DSP1. Si votre solution de paiement actuelle utilise toujours une simple authentification par 3D-Secure 1.0 par exemple, les banques pourraient alors refuser tous les paiements de vos clients en provenance de votre site.
Une des premières actions est alors de s’assurer de la conformité de sa solution de paiement. Éventuellement, changer de solution pourrait s’imposer à l’e-commerçant. Le critère technologique doit alors guider le choix de la solution, certaines offrant des options plus intéressantes que d’autres. L’exemple de technologie le plus commun est le 3D-Secure 2.0. Selon une étude Visa, il analyserait 10 fois plus de données que le 3D 1.0, faisant passer 95% des transactions en frictionless et ainsi réduire l’abandon de panier pendant l’achat de 70%[1].
Ainsi, en optant pour une solution de paiement qui partagerait plus d’informations avec les banques au sein de leur algorithme d’évaluation des risques, les transactions au risque non statué seront largement diminuées, et celles réalisées en frictionless augmentées. Le choix d’une solution de paiement de qualité est d’autant plus important que c’est la responsabilité du marchand qui est en jeu lors d’une fraude pour un paiement frictionless.
Appliquer le design d’expérience (UX) pour valoriser l’authentification forte dans le parcours d’achat
Le frictionless n’est pas toujours possible, notamment pour les transactions dont les montants sont importants. Pour prendre en compte ces transactions à risque, l’authentification forte doit également s’intégrer à la stratégie d’étude du parcours d’achat de vos clients. L’authentification forte a pour objectif de lutter contre les opérations frauduleuses. Il convient donc de la valoriser comme tel dans le processus d’achat afin de rassurer le client et de l’inciter à aller au bout de la transaction.
Pour optimiser ce processus, bien connaître le parcours d’achat de vos clients est primordial. Réaliser une étude avec une approche user centric – en se mettant à la place de ceux qui procèdent à cette double authentification : vos clients – est généralement une étape obligatoire. Vous pourrez ensuite optimiser ce parcours pour guider vos clients, de la découverte du site, jusqu’à la finalisation de la transaction de paiement.
Par exemple, NA-KD a fait le choix de réduire les étapes en amont de l’authentification, combinant revue du panier et renseignement de la carte bancaire sur la même page. Cela permet au site de conserver un nombre d’étapes similaire en cas d’authentification forte.
Le géant Amazon a de son côté complètement optimisé le parcours des acheteurs récurrents, rentrant automatiquement les informations renseignées aux achats précédents pour permettre un check-out en un clic.
L’expérience client est un critère indispensable pour une majorité de consommateurs. L’améliorer, en offrant des innovations pertinentes, permet de créer un avantage concurrentiel considérable.
Pour beaucoup d’e-commerçants, la DSP2 est vue comme une contrainte supplémentaire. Bien qu’obligatoire, elle constitue pourtant une opportunité pour diminuer les fraudes de paiement et améliorer l’expérience client. Les sites marchands les mieux préparés aux changements imposés par la DSP2 pourront ainsi conserver un taux de conversion supérieur à la moyenne et gagner des parts de marché sur leurs concurrents.
[1] Selon l’étude de cas “Frictionless Experience with Verified by Visa”, 2019, Visa.