Tout savoir sur la Directive Sur les Paiements 2 (DSP2)
La DSP2, Directive Sur les Paiements 2, est un texte européen qui vient remplacer la DSP1 et qui doit être appliqué à partir du 14 septembre 2019.
Cette nouvelle réglementation aura des conséquences sur les transactions en ligne et particulièrement sur les sites E-commerce. Il était donc judicieux de s’y intéresser.
Qu'est ce que la DSP2 ?
Objectifs de la DSP2
La mise en place de ce nouveau texte a deux objectifs :
- Lutter contre la fraude
- Améliorer l’expérience utilisateur
Exceptions à l'application de la DSP2
Il existe des exceptions à l’application de la DSP2. Le mise en place du 3DS reste en effet à l’appréciation de l’e-commerçant pour :
- Les transactions de moins de 30€ dans la limite de 100 euros par jour ou de 5 transactions par jour et par carte bancaire
- Les transactions si le site est dans la whitelist de l’acheteur
- Les Merchant Initiated Transactions ou MIT (abonnements ou paiements fractionnés)
- La vente téléphonique
Évolutions du 3DS
Dans un souci de cohérence, le 3DS évolue également et passe de la V1 à la V2. La V1 se résumait bien souvent à l’envoi d’un code par SMS à l’acheteur pour qu’il puisse valider sa transaction. La V2 se dote de deux modes d’authentification, qui viennent renforcer la sécurité des paiements mais aussi l’expérience utilisateur.
Nouveaux modes d'authentification du 3DS
Authentification forte : elle se rapproche du 3DS actuel, mais pose désormais un cadre bien défini. Pour s’identifier, un acheteur devra fournir au moins deux des éléments suivants :
- Un élément que lui seul connaît (mot de passe, code, etc.)
- Un élément que lui seul possède (téléphone mobile, carte à puce, etc.)
- Une caractéristique personnelle (empreinte digitale, reconnaissance vocale, etc.)
Authentification Frictionless : il constitue la grande nouveauté. Il évite à l’acheteur de devoir passer par l’authentification forte qui rompt parfois le tunnel de conversion. L’authentification est réalisée sans action de la part de l’acheteur. Tout se fait via la data utilisateur dans laquelle on compte :
- Les données d’adresse (adresse de livraison)
- Les données de facturation (adresse de facturation)
- Les données du navigateur (IP, localisation, contexte de navigation, langue)
- Les données du payeur (infos clients)
Qui décide quel mode d'authentification est utilisé ?
C’est l’e-commerçant qui émet une demande pour déterminer sur quelles transactions il souhaite appliquer le frictionless ou l’authentification forte. La banque est ensuite en droit d’accepter ou de modifier le protocole qui sera réellement appliqué.
Qui porte la responsabilité en cas de fraude ?
Qui porte la responsabilité si l’e-commerçant demande un protocole mais que la banque choisis celui qui est appliqué ? Pour le comprendre, voici un tableau récapitulatif :
Le marchand demande | La banque exécute | Responsabilité en cas de fraude |
Frictionless | Frictionless | Marchand |
Frictionless | Authentification forte | Banque |
Authentification forte | Authentification forte | Banque |
Authentification forte | Frictionless | Banque |
Pour résumer :
- Authentification forte, c’est la banque qui porte la responsabilité.
- Frictionless, c’est l’acteur qui en fait la demande qui porte la responsabilité
Comment être en conformité avec la DSP2 ?
Modules officiels (Paypal, PayPlug, modules officiels de Prestashop et des banques) : il sera nécessaire de les réinstaller et de les racheter s’il ne sont pas gratuits. Si vous êtes client Ukoo, l’agence se rapprochera de vous dès que vos modules de paiement auront leur version DSP2 finalisée.
Si des questions persistent, n’hésitez pas à nous contacter via notre formulaire de contact ou par téléphone au 03.89.64.05.12.
Vous serez sûrement intéressé par