E-commerce : l'authentification forte pour les transactions en ligne

Depuis le 15 mai 2021, les transactions par carte bancaire effectuées sur les sites marchands sont soumises à une authentification forte, qui implique désormais deux éléments d'authentification lors d’un paiement en ligne.

Avec l'entrée en vigueur le 15 mai 2021 de la dernière étape de la DSP2 (Directive européenne sur les Services de Paiement 2ème version), l'authentification forte (ou double authentification) est devenue obligatoire pour les clients des sites de vente en ligne qui paient par carte bancaire. L'objectif de cette directive est de protéger davantage l’acheteur et de lutter contre la fraude, en renforçant la sécurité des moyens de paiement.

Authentification forte : de quoi s'agit-il ?

Jusqu'à présent, les achats en ligne par carte bancaire étaient soumis au système 3D Secure. Ce procédé d'authentification redirige le client vers son établissement bancaire, pour qu'il confirme son identité en renseignant un code à usage unique, envoyé par SMS par sa banque. Mais pour la DPS2, ce contrôle n'est pas suffisant : elle exige désormais une authentification « forte » via la version plus avancée du protocole 3D Secure, dite v2.

Cette authentification forte signifie qu'une transaction ou une opération bancaire en ligne ne sera autorisée que si deux éléments d'authentification parmi les trois suivants sont validés :
1.    une information que vous seul connaissez (code secret, mot de passe, question secrète) ;
2.    l'utilisation d'un appareil que vous détenez (téléphone, ordinateur, boîtier fourni par la banque) ;
3.    une caractéristique personnelle (empreinte digitale, reconnaissance faciale).

Si la mise en œuvre du 3D Secure était à la discrétion de l'e-commerçant, la DSP2 rend désormais obligatoire l'authentification forte si le payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Le commerçant peut cependant demander à être exempté de l'obligation d’authentification forte pour les petites transactions (moins de 30 euros), les paiements présentant un faible niveau de risque, les abonnements et opérations récurrentes.

E-commerçants : comment s'assurer de votre conformité à l'authentification forte ?

Généralement, la mise en œuvre de l'authentification forte relève des prestataires de services de paiement et n'implique donc aucune action spécifique de la part des e-commerçants.

Il est cependant recommandé de vérifier auprès de votre banque si votre contrat de vente à distance supporte bien les transactions 3D Secure v2, pour être sûr que votre site d'e-commerce est bien conforme à l'authentification forte et éviter les mauvaises surprises.

De même, il est nécessaire de prendre contact avec le prestataire informatique de votre site pour vous assurer que les nouveaux champs de transaction exigés par la DSP2 sont bien intégrés dans le processus de paiement.