L’application de la DSP2 repoussée de trois ans en France
Comme d’autres pays européens, la France a obtenu l’aval de l’autorité bancaire européenne pour repousser l’application de la directive DSP2 visant à renforcer la sécurité des paiements en ligne. De quoi rassurer les commerçants qui appréhendaient une baisse sensible de leurs ventes. Pourquoi ? Parce que les règles d’authentification forte (RTS), qui devaient s’imposer à partir du 14 septembre 2019, ajoutaient des points de friction dans leur parcours de vente. Résultats : les clients auraient été nombreux à abandonner leur panier d’achat en ligne en cours de route. D’ailleurs, le spécialiste des paiements en ligne aux États-Unis, Stripe, chiffrait à 57 milliards d’euros le coût pour l’économie européenne lors de la première année d’application du volet de la DSP2.
Le code unique par SMS incompatible avec l’authentification forte
Pour faire simple, les RTS rendaient caduque la procédure mise en place par les banques pour régler en ligne ses achats : l’envoi d’un code à usage unique par SMS. En effet, l’authentification forte repose sur l’utilisation au minimum de deux éléments indépendants : quelque chose que seul le consommateur connaît (code PIN, mot de passe, question secrète, etc.), que seul il possède (smartphone, ordinateur, clé, cryptogramme à trois chiffres, etc.) et que seul il est (empreinte digitale, reconnaissance faciale ou vocale, etc.). Le code unique par SMS ne propose qu’un seul élément indépendant : la possession du mobile du porteur. L’idée est de réduire le niveau de fraude sur les paiements en ligne, bien que les dispositifs actuels donnent déjà des résultats.
Le recours aux données biométriques
Les chiffres de l’observatoire des moyens de paiement (OSMP) montrent que le taux de fraude des transactions authentifiées (0,07 %) est bien inférieur à celui des transactions non authentifiées (0,21 %). Ainsi, pour 578 euros de paiements en ligne, on relève un euro de fraude. L’arrivée des données biométriques doit permettre de répondre aux exigences de la DSP2. En attendant, Tink, la plateforme suédoise d'open banking, s’inquiète dans une étude d’une mise en conformité défaillante des établissements européens. Pour douze des principales banques du marché, seuls 15 % des APIs seraient opérationnelles, et plus de 6 sur 10 n’en proposent aucune en état de fonctionner.
Un report de la DSP2 généralisé en Europe
Dans ce contexte, plusieurs pays européens ont reporté l’application de la directive DSP2. Outre l’Italie et l’Espagne, la France a accordé un délai supplémentaire de trois ans pour la mise en conformité des banques, des prestataires techniques et des commerçants. Au Royaume-Uni, ce report court jusqu’en mars prochain pour les services de banque en ligne et jusqu’en mars 2021 pour les achats en ligne. Si le régulateur allemand n’a pas précisé la durée de délai supplémentaire, il reconnaît que la migration vers une solution conforme pour les e-commerçants prend un temps considérable.
Mais, sous couvert d'un compte à rebours précipité, cette impréparation sur les spécifications techniques soulève des questions, alors que la directive européenne a été adoptée en 2013, puis validée par le Parlement et le Conseil en 2015.