11 septembre 2019-Temps de lecture : 4min

DSP2 : ce qu’il faut savoir sur la nouvelle directive européenne.

Connaissez-vous la DSP2, cette nouvelle directive européenne qui va impacter le secteur du e-commerce et les paiements en ligne à partir du 14 septembre 2019 ?

Dans la famille des réglementations liées à la protection des données, la DSP2 (Directive sur les Services de Paiement) est la petite dernière du paysage législatif. Son but : améliorer la sécurité des transactions online via une authentification plus forte du client. Cela concerne également l’ouverture du marché bancaire à de nouveaux acteurs du paiement (depuis le 13 janvier 2019).

Cette réglementation entre en vigueur à partir du 14 septembre prochain. Mais pas de panique ! Nous vous livrons toutes les clés pour être fin prêts.

L’authentification forte, comment ça marche ?

En clair, cela signifie que l’utilisateur, devra désormais s’identifier en utilisant au moins deux des trois niveaux d’identification existants lors d’une transaction (par exemple : un mot de passe, un message reçu sur un appareil mobile ou une donnée biométrique). Si cette obligation n’est pas respectée, les paiements pourront être automatiquement refusés par les banques.

Les trois différents facteurs possibles sont:

  • Le facteur connaissance : c’est une information détenue uniquement par l’utilisateur, tel qu’un mot de passe ou un code PIN (un élément que l’utilisateur connaît).
  • Le facteur possession : c’est un élément que seul l’utilisateur possède, comme une carte bancaire ou le téléphone mobile sur lequel est envoyé un sms de validation.
  • Le facteur inhérence : il s’agit de données biométriques, telles que la reconnaissance vocale ou faciale, les empreintes digitales, etc. (un élément que l’utilisateur “est”).

 

dsp2-legislation-europeenne-ecommerce

Le champ d’application de la directive est relativement vaste. Il s’applique effectivement à tous services de paiement fournis au sein de l’Union Européenne, en devise euro, et plus largement à tous les paiements en ligne supérieurs à 30€.

Une nouvelle directive, mais dans quel but ?

  • Limiter les fraudes en renforçant la sécurité des transactions en ligne ;
  • Renforcer les droits des consommateurs ;
  • Ouvrir le marché à de nouveaux acteurs, les PSP (Prestataires de Services de Paiement) tels que Stripe, PayPal, HiPay ou encore Adyen. Ces derniers pourront avoir accès, après consentement du consommateur, aux données bancaires via API sécurisées.

Vos obligations et responsabilités 

D’un point de vue responsabilité, l’article 20 de la directive indique à ce sujet que les États membres exigent des établissements de paiement qu’ils restent pleinement responsables. Par conséquent, ce n’est plus l’e-commerçant qui décidera s’il faut appliquer une authentification forte sur une transaction, mais bien la banque émettrice.

De votre côté, vous n’avez donc qu’une seule obligation : vous assurer que vos solutions de paiement à débit soient bien conformes DSP2 en date du 14 septembre.

Pour le savoir, contactez directement vos services de paiement à débit et vérifiez-le auprès d’eux. Profitez-en également pour obtenir les informations nécessaires aux modifications à entreprendre sur votre projet. C’est effectivement l’occasion de faire d’une pierre deux coups. Cela permettra ainsi d’enclencher une intervention plus rapide, en ayant connaissance des éléments spécifiques à la solution de paiement retenue.

Quels risques pour un e-commerçant « non DSP2 » ?

Un e-commerçant non conforme s’expose à deux risques principaux:

  • Une diminution de la conversion liée à l’augmentation significative des transactions soumises à authentification forte. Passé le 14 septembre, la banque émettrice pourra forcer l’authentification forte en cas de non-réception des données DSP2 RTS compliant. Cela se traduira notamment par un allongement du processus de paiement et un impact direct sur vos ventes.
  • Une augmentation du nombre de transactions échouées. En cause : la banque émettrice pourra refuser un paiement en l’absence d’une authentification suffisante.

Et maintenant ?

Renseignez-vous auprès de vos solutions de paiement afin de respecter les principes de sécurité attendus et, ainsi, d’éviter tout impact sur vos ventes. Certains prestataires bancaires indiquent qu’il suffit d’un clic pour mettre à jour leur module et être conforme. En revanche, dans d’autres cas, cela peut demander l’ajout d’un module supplémentaire.

Notez, également, que l’Autorité Bancaire Européenne (EBA) a publié un avis fin juin : elle accorde une période de transition jusqu’à mars 2020. Néanmoins, les banques émettrices peuvent quand-même imposer l’authentification forte dès le 14 septembre. Ce choix leur revient : nous vous conseillons donc de prendre le temps de contacter vos prestataires de paiement.

 


L’équipe NewQuest est à votre écoute pour vous renseigner et vous accompagner. Nos experts sont également à votre disposition pour vous permettre d’être en conformité DSP2. Nous pouvons effectivement intervenir techniquement, à partir des modalités transmises par votre solution de paiement.

Ouvrez la discussion

En laissant un commentaire vous acceptez de laisser votre nom/ pseudo pour affichage sur le site et votre adresse mail pour pouvoir vous contacter à propos de votre commentaire uniquement si besoin. Vous pouvez à tout moment demander l’anonymisation de vos commentaires.

Laisser un commentaire

Un projet ou des idées ? On peut sûrement vous aider :)

A la découverte d’Imaginascience 2017 

5ème édition d'Imaginascience
Depuis sa création en 2013, Imaginascience questionne le rôle et l’impact de l’image des sciences dans nos sociétés contemporaines. L’édition 2017, qui se tiendra à Annecy, sera consacrée au thème des pratiques immersives au service des apprentissages. Story telling, réalité virtuelle, réalité augmentée…un concentré de technologies à découvrir dans cette 5ème édition. Continue reading A la découverte d’Imaginascience 2017 

Passez en HTTPS : vos clients vous diront merci !

Une nouvelle mise à jour importante
Il y a quelques mois, nous vous informions sur les nouvelles règles pour votre site e-commerce, notamment celles liées au référencement et imposées par Google qui privilégie les sites disposant de la fonction de sécurité HTTPS. Fixées par Google, elles pénalisent déjà tous les sites qui proposent des formulaires de connexion ou de paiement en HTTP. Continue reading Passez en HTTPS : vos clients vous diront merci !