0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p>Le mois de septembre 2019, et plus précisément la date du 14, a été marqué par l’entrée en vigueur des normes techniques de la<strong>DSP2</strong>, la<a><strong>deuxième directive sur les services de paiement</strong></a>. Elle rend notamment<strong>obligatoire l’authentification forte du client</strong>(Strong Customer Authentification, SCA) via la<strong>double authentification lors des paiements électroniques</strong><strong>d’un montant de plus de 30 euros</strong>. Comme les e-commerçants,<strong>denombreux restaurateurs sont donc impactés</strong>par ces changements.</p>
1
<p>Le mois de septembre 2019, et plus précisément la date du 14, a été marqué par l’entrée en vigueur des normes techniques de la<strong>DSP2</strong>, la<a><strong>deuxième directive sur les services de paiement</strong></a>. Elle rend notamment<strong>obligatoire l’authentification forte du client</strong>(Strong Customer Authentification, SCA) via la<strong>double authentification lors des paiements électroniques</strong><strong>d’un montant de plus de 30 euros</strong>. Comme les e-commerçants,<strong>denombreux restaurateurs sont donc impactés</strong>par ces changements.</p>
2
<h2><strong>Ce que la DSP2 vise</strong></h2>
2
<h2><strong>Ce que la DSP2 vise</strong></h2>
3
<p>La DSP2, avec cette obligation de SCA, vise à favoriser l’innovation et la concurrence, tout en<strong>renforçant la sécurité des consommateurs</strong>et en<strong>réduisant le taux de fraude côté payeur</strong>. Ses objectifs sont clairement arrêtés (voir à ce sujet l’<a><strong>article 98 de la directive</strong></a>) :</p>
3
<p>La DSP2, avec cette obligation de SCA, vise à favoriser l’innovation et la concurrence, tout en<strong>renforçant la sécurité des consommateurs</strong>et en<strong>réduisant le taux de fraude côté payeur</strong>. Ses objectifs sont clairement arrêtés (voir à ce sujet l’<a><strong>article 98 de la directive</strong></a>) :</p>
4
<p>"<em>a) Garantir un niveau de sécurité approprié pour les utilisateurs de services de paiement et les prestataires de services de paiement par l’adoption d’exigences efficaces et fondées sur les risques;</em></p>
4
<p>"<em>a) Garantir un niveau de sécurité approprié pour les utilisateurs de services de paiement et les prestataires de services de paiement par l’adoption d’exigences efficaces et fondées sur les risques;</em></p>
5
<p><em>b) garantir la sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement;</em></p>
5
<p><em>b) garantir la sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement;</em></p>
6
<p><em>c) garantir et maintenir une concurrence équitable entre l’ensemble des prestataires de services de paiement;</em></p>
6
<p><em>c) garantir et maintenir une concurrence équitable entre l’ensemble des prestataires de services de paiement;</em></p>
7
<p><em>d) garantir la neutralité du modèle commercial et des technologies;</em></p>
7
<p><em>d) garantir la neutralité du modèle commercial et des technologies;</em></p>
8
<p><em>e) permettre le développement de moyens de paiement innovants, accessibles et faciles à utiliser.”</em></p>
8
<p><em>e) permettre le développement de moyens de paiement innovants, accessibles et faciles à utiliser.”</em></p>
9
<h2><strong>Les moyens d’authentification forte prévus par la directive</strong></h2>
9
<h2><strong>Les moyens d’authentification forte prévus par la directive</strong></h2>
10
<p>La SCA implique de s’authentifier<strong>via au moins 2 éléments</strong>parmi les suivants :</p>
10
<p>La SCA implique de s’authentifier<strong>via au moins 2 éléments</strong>parmi les suivants :</p>
11
<ul><li><strong>Ce que le client possède (smartphone, carte à puce, appareil connecté…);</strong></li>
11
<ul><li><strong>Ce que le client possède (smartphone, carte à puce, appareil connecté…);</strong></li>
12
<li><strong>Ce qu’il connaît</strong>(code PIN, mot de passe…)</li>
12
<li><strong>Ce qu’il connaît</strong>(code PIN, mot de passe…)</li>
13
<li><strong>Ce qu’il est</strong>,<strong>ce qui le caractérise personnellement</strong>(reconnaissance vocale, empreinte digitale…)</li>
13
<li><strong>Ce qu’il est</strong>,<strong>ce qui le caractérise personnellement</strong>(reconnaissance vocale, empreinte digitale…)</li>
14
</ul><p>Avant cette directive, l’authentification forte était bien sûr recommandée; mais elle est désormais obligatoire pour les achats en ligne. Sans 2 des conditions précitées (“<em>two factors authentification</em>”), le client ne pourra pas effectuer son paiement en ligne. Notons que ces éléments doivent être indépendants l’une de l’autre. C’est à la<strong>banque émettrice</strong>, à savoir celle de l’acheteur, qu’il reviendra désormais de déclencher l’authentification forte sur la base de son analyse de risques.</p>
14
</ul><p>Avant cette directive, l’authentification forte était bien sûr recommandée; mais elle est désormais obligatoire pour les achats en ligne. Sans 2 des conditions précitées (“<em>two factors authentification</em>”), le client ne pourra pas effectuer son paiement en ligne. Notons que ces éléments doivent être indépendants l’une de l’autre. C’est à la<strong>banque émettrice</strong>, à savoir celle de l’acheteur, qu’il reviendra désormais de déclencher l’authentification forte sur la base de son analyse de risques.</p>
15
<h2><strong>Vers le protocole 3D Secure 2</strong></h2>
15
<h2><strong>Vers le protocole 3D Secure 2</strong></h2>
16
<p>La double authentification est donc au coeur du<strong>protocole 3D Secure 2.0</strong>, qui vient prendre la relève du 3D Secure tel qu’on le connaissait jusqu’alors - à savoir l’envoi d’un SMS pour confirmer un achat.</p>
16
<p>La double authentification est donc au coeur du<strong>protocole 3D Secure 2.0</strong>, qui vient prendre la relève du 3D Secure tel qu’on le connaissait jusqu’alors - à savoir l’envoi d’un SMS pour confirmer un achat.</p>
17
<p>Cette évolution devrait pousser les acteurs du secteur du paiement à investir dans de nouvelles technologies biométriques. En effet, l’une des inquiétudes les plus prononcées des e-commerçants est la baisse du taux de conversion lors du shopping en ligne. L’expérience client risque en effet d’être moins fluide, tant que l’authentification n’est pas facilitée. Aujourd’hui, de bons exemples de double authentification déjà en place incluent par exemple Apple Pay.</p>
17
<p>Cette évolution devrait pousser les acteurs du secteur du paiement à investir dans de nouvelles technologies biométriques. En effet, l’une des inquiétudes les plus prononcées des e-commerçants est la baisse du taux de conversion lors du shopping en ligne. L’expérience client risque en effet d’être moins fluide, tant que l’authentification n’est pas facilitée. Aujourd’hui, de bons exemples de double authentification déjà en place incluent par exemple Apple Pay.</p>
18
<h2><strong>Les dérogations à la double authentification</strong></h2>
18
<h2><strong>Les dérogations à la double authentification</strong></h2>
19
<p>La DSP2 prévoit des exceptions :</p>
19
<p>La DSP2 prévoit des exceptions :</p>
20
<ul><li><strong>Les paiements inférieurs à 30 euros</strong></li>
20
<ul><li><strong>Les paiements inférieurs à 30 euros</strong></li>
21
</ul><p>Il s’agit d’opérations d’un montant limité et pour lesquelles on estime que le risque est faible.</p>
21
</ul><p>Il s’agit d’opérations d’un montant limité et pour lesquelles on estime que le risque est faible.</p>
22
<ul><li><strong>Les opérations récurrentes, paiements échelonnés et abonnements</strong></li>
22
<ul><li><strong>Les opérations récurrentes, paiements échelonnés et abonnements</strong></li>
23
</ul><p>Cela concerne moins les restaurateurs, mais la DSP2 permet aux<strong>opérations récurrentes d’un même montant</strong>de ne pas être soumises à l’authentification forte, et ce dès la 2nde opération.</p>
23
</ul><p>Cela concerne moins les restaurateurs, mais la DSP2 permet aux<strong>opérations récurrentes d’un même montant</strong>de ne pas être soumises à l’authentification forte, et ce dès la 2nde opération.</p>
24
<ul><li><strong>Les transactions “MOTO”</strong></li>
24
<ul><li><strong>Les transactions “MOTO”</strong></li>
25
</ul><p>Les transactions MOTO (<em>Mail Orders and Telephone Orders</em>), c’est-à-dire passées par e-mail ou par téléphone, sont exemptées, car elles ne sont pas considérées comme un paiement électronique.</p>
25
</ul><p>Les transactions MOTO (<em>Mail Orders and Telephone Orders</em>), c’est-à-dire passées par e-mail ou par téléphone, sont exemptées, car elles ne sont pas considérées comme un paiement électronique.</p>
26
<ul><li><strong>Les listes blanches</strong></li>
26
<ul><li><strong>Les listes blanches</strong></li>
27
</ul><p>Chaque client a la possibilité d’ajouter des “bénéficiaires de confiance” à une liste blanche. Cette dernière est conservée par la banque. Dans ce cas, l’authentification via 3D Secure n’est pas nécessaire.</p>
27
</ul><p>Chaque client a la possibilité d’ajouter des “bénéficiaires de confiance” à une liste blanche. Cette dernière est conservée par la banque. Dans ce cas, l’authentification via 3D Secure n’est pas nécessaire.</p>
28
<ul><li><strong>Les paiements par carte professionnelle</strong></li>
28
<ul><li><strong>Les paiements par carte professionnelle</strong></li>
29
</ul><p>Tout paiement effectué avec une carte d’affaires ne sera pas concerné par les exigences relatives à la SCA.</p>
29
</ul><p>Tout paiement effectué avec une carte d’affaires ne sera pas concerné par les exigences relatives à la SCA.</p>
30
<ul><li><strong>Les transactions inter-régionales</strong></li>
30
<ul><li><strong>Les transactions inter-régionales</strong></li>
31
</ul><p>Si l’émetteur du paiement ou l’acquéreur de la carte n’est pas basé en Europe, la transaction est également exemptée de double authentification. Rien n’empêche cependant de décider de l’implémenter.</p>
31
</ul><p>Si l’émetteur du paiement ou l’acquéreur de la carte n’est pas basé en Europe, la transaction est également exemptée de double authentification. Rien n’empêche cependant de décider de l’implémenter.</p>
32
<h2><strong>Quel impact pour les restaurateurs ?</strong></h2>
32
<h2><strong>Quel impact pour les restaurateurs ?</strong></h2>
33
<p>Dès lors que vous acceptez des paiements en ligne (pour votre site de<a><strong>commande en ligne</strong></a>ou le Click and collect par exemple), vous devez prendre en compte cette nouvelle législation.</p>
33
<p>Dès lors que vous acceptez des paiements en ligne (pour votre site de<a><strong>commande en ligne</strong></a>ou le Click and collect par exemple), vous devez prendre en compte cette nouvelle législation.</p>
34
<p>Heureusement, des options adaptées à la DSP2 existent à l’heure actuelle. Par exemple, en passant via<a><strong>la suite logicielle d’Innovorder</strong></a>, vous bénéficiez de l’authentification forte grâce à<strong>l’intégration de Stripe à la solution</strong>.</p>
34
<p>Heureusement, des options adaptées à la DSP2 existent à l’heure actuelle. Par exemple, en passant via<a><strong>la suite logicielle d’Innovorder</strong></a>, vous bénéficiez de l’authentification forte grâce à<strong>l’intégration de Stripe à la solution</strong>.</p>