Les nouvelles normes européennes sur le paiement en ligne pourraient sérieusement impacter le e-commerce

De nouvelles règles d'authentification des paiements menacent le fragile, mais nécessaire équilibre entre sécurité et qualité du parcours client

10458

La commission paiement / monétique de la Fevad s’est réunie pour étudier les nouvelles règles de l’UE relatives à l’authentification forte des cyber-acheteurs lors d’un paiement en ligne, nouvelles règles instituées par la DSP2 et le « RTS » (Regulatory technical standards) qui lui est associé.

La Fevad a confirmé à cette occasion son soutien à la position défendue par son organisation européenne, E-commerce Europe (ECE), dans le cadre de la consultation engagée par les autorités européennes et pour laquelle les parties prenantes étaient appelées à se prononcer avant le 12 octobre. Dans sa contribution « Targeted Authentication’ best answer for secure and convenient online payments » Ecommerce Europe revient sur le caractère inadapté d’une obligation automatique et généralisée d’appliquer l’authentification forte.

Rappelons que la Directive sur les services de paiement (PSD2) poursuit trois objectifs : l’harmonisation, l’innovation et la sécurité. L’Autorité bancaire européenne (ABE) est responsable de l’élaboration des normes techniques réglementaires pour fournir une authentification forte des personnes lors des paiements en ligne (type 3Dsecure).

Or la rédaction de la norme technique proposée par l’ABE présente un recul évident quant aux pratiques et expertises développées par la plupart des e-commerçants dans le domaine de la lutte contre la fraude. Elle va également à l’encontre des attentes des consommateurs en matière de paiement en ligne en alourdissant le parcours client par l’exigence d’une authentification forte pour tout paiement en ligne supérieur à 10 euros !

A l’heure du paiement sans contact en magasin (c’est à dire sans aucune authentification), une telle obligation paraît totalement disproportionnée. On imagine par ailleurs les conséquences désastreuses que cette obligation aurait sur le taux de conversion et donc sur la performance des sites.

Dès l’origine du déploiement de 3Dsecure en France (cf notre Livre blanc Fevad « les moyens de sécurisation des paiements dans le e-commerce« ), la Fevad a toujours défendu une approche mixte, dite par les risques. Cette approche, en responsabilisant le marchand, lui laisse le choix des modalités de sécurisation d’une transaction dont il connait mieux que personne les caractéristiques (nature du client, du produit, du contexte d’achat …) et par là même l’exposition au risque. Il en supporte d’ailleurs toute la charge en cas de problème, le consommateur étant protégé par la loi sur ce point.

Dans l’arsenal anti-fraude déployé par les marchands et les opérateurs de paiement (PSP, banques, Scheme), l’authentification forte y a toute sa place bien entendu, aux côtés d’outils d’analyse de risque extrêmement puissants. Il n’y aura jamais UNE solution miracle contre la fraude et on sait qu’il est infiniment plus efficace de mixer les parades, d’associer par exemple un modèle de comportement et une authentification renforcée utilisée à bon escient.

Cette politique déployée depuis plusieurs années en France a conduit à des résultats significatifs puisque selon les statistiques de l’OSCP (voir ici), le taux de fraude en vente à distance recule maintenant depuis deux ans. L’effort doit être poursuivi car il reste bien sûr des marges de progression importantes pour certains marchands.

Le projet de norme technique présenté par l’Autorité bancaire européenne (ABE) ne doit pas remettre en cause plusieurs années d’investissements de tous les acteurs de la chaîne de paiement dans la lutte contre la fraude. Il risque ainsi de mettre en péril le fragile, mais nécessaire équilibre entre sécurité et fluidité du parcours client qui sont au cœur du développement du secteur de l’économie digitale, dont le e-commerce.

L’authentification forte doit rester un outil de lutte contre la fraude, mis à la disposition des e-commerçants européens. Son déploiement doit reposer sur une politique de responsabilisation des sites marchands, basée sur des objectifs d’efficacité dans la maîtrise de la fraude et sur la recherche des moyens les mieux adaptés pour atteindre ces objectifs. Autrement dit, l’authentification forte doit pouvoir servir les intérêts de la lutte contre la cybercriminalité, sans remettre en cause le formidable potentiel de développement de l’activité. C’est bien là tout l’enjeu des politiques publiques de sécurisation et le meilleur moyen de favoriser le développement de l’industrie européenne des services digitaux.

La Fevad, E-commerce Europe et l’ensemble des partenaires de la chaîne des paiements qui partagent cette vision vont rester mobilisés pour que, lors de l’adoption formelle de ce texte par les instances européennes, ce point de vue soit pris en compte.

PARTAGER