L’authentification forte. Des bonnes pratiques à instaurer

Par Christine Calais

Contexte. En France, l’e-commerce et le M-commerce continuent d’afficher une très forte croissance. En 2020, les ventes sur Internet ont atteint 112,2 milliards d’euros (+8,5% en un an) selon la Fédération du E-commerce et de la Vente à Distance (Fevad). Les 41,6 millions de cyberacheteurs français ont réalisé 1,84 milliard de transactions (+5,8% par rapport à 2019). Or, selon l’association Mercatel, le taux de fraude sur les achats à distance (0,16% en 2020) était 20 fois supérieur à celui du commerce physique. C’est pourquoi – dans le but de limiter le risque de fraude lors des achats en ligne – le Parlement Européen a voté en 2015 la directive européenne sur les services de paiements (DSP2), qui encadre notamment les façons de réaliser des paiements en ligne auprès des commerçants de l’Union Européenne. Cette directive impose depuis le 15 mai 2021 (avec une période de transition de 4 semaines) l’authentification forte, procédure de vérification de l’identité de l’utilisateur. 
Les e-commerçants s’y sont bien préparés : 96 % des transactions en valeur entre le 7 et le 13 juin 2021 concernées par la directive DSP2 ont fait l’objet d’une authentification forte. 

Authentification à deux facteurs 
Cette authentification forte nécessite une vérification pour l’accès aux opérations de paiement en ligne avec au moins deux des trois facteurs suivants :
– un élément que seul l’utilisateur connaît (mot de passe, code…)
– un élément que seul l’utilisateur possède (téléphone mobile, carte à puce…)
– un élément biométrique (empreinte digitale, reconnaissance vocale, faciale…). En pratique, l’authentification forte est réalisée grâce au téléphone mobile de deux manières : soit via l’application de paiement l’utilisateur et son application bancaire, à laquelle il se connecte via un mot de passe ou un facteur biométrique. Soit via l’envoi d’un code à usage unique, celui-ci étant moins fluide. 

Impact sur le taux de conversion. Du côté des retailers, la crainte majeure est celle de l’abandon de panier, qui réduit mécaniquement le taux de conversion. L’une de ces causes, certes loin d’être la seule, provient d’un processus de paiement perçu comme plus compliqué par le client, ou de l’absence du moyen de paiement ou de facteurs exogènes, comme les pannes de batterie de téléphones mobiles…. Selon une étude réalisée en 2019, 58% des clients ont déjà abandonné leur panier d’achats lors de la phase de paiement, dont 17 % à cause d’un processus de paiement trop compliqué. 18 % ont déjà abandonné leur achat car leur moyen de paiement préféré n’était pas proposé.

Cas d’exemption
La directive a prévu toutefois plusieurs cas d’exemption, offrant ainsi au consommateur un parcours sans friction.
– opérations de faible montant et à risque faible. Le niveau de risque est évalué selon le taux moyen de fraude chez le prestataire de paiement (PSP) et la banque émettrice : 0,13% pour exempter les transactions inférieures à € 100, 0,06% pour exempter les transactions inférieures à € 250, 0,01% pour exempter les transactions inférieures à € 500.
– abonnements ou transactions récurrentes de montant fixe, dès la 2e occurrence.
– liste blanche : marchands déclarés en tant que bénéficiaires de confiance par le consommateur à sa banque.
– transactions par téléphone, non considérées comme paiement électronique, soumis à l’acceptation de la banque émettrice du paiement.
– transactions initiées par le marchand, après accord et première authentification du client (par exemple : abonnements à montant variable).
– transactions inter-régionales : si l’émetteur d’un paiement ou l’acquéreur de la carte ne sont pas basés en Europe.
– transactions anonymes réalisées par carte prépayée ou d’entreprise.

Conjuguer sécurité et fluidité. Il est essentiel de choisir un Prestataire de Services de Paiements (PSP) qui possède des moteurs d’exemption fins, afin de garder le niveau de fraude acceptable tout en fluidifiant les parcours d’achat. Il est également clé de l’associer avec un bon moteur de gestion de lutte contre la fraude. Tous les acteurs du paiement s’y sont aujourd’hui attelés.

Points de vigilance. Enfin, les acteurs du paiement en ligne doivent garder en tête certains éléments. Les banques doivent respecter le principe d’équité, à savoir éviter de rendre les parcours d’achat complexes pour les personnes souffrant d’illettrisme numérique, ou celles qui n’ont pas de smartphone. Elles doivent être en mesure de pouvoir gérer les cas particuliers, qui représentent autant de processus d’authentification différents. L’e-commerçant doit également faire preuve de transparence et de pédagogie, en expliquant au consommateur pourquoi il bénéficie d’une exemption. L’idée est qu’il ne soit pas surpris de ne pas avoir eu à réaliser de double authentification. Enfin, « last but not least » : les parcours d’achat sur mobile doivent encore être fluidifiés, notamment par les banques, afin de permettre au consommateur de rebasculer facilement vers son panier lors d’une authentification via son application bancaire.